Jack_Burton

Bonjour, Je t invite a suivre notre procédure préliminaire dans un premier temps : puis poste le rapport qui va en découler sur ce forum

Bonjour, Je n aime pas l antispyware de Microsoft! Non pas qu il soit mauvais, mais a mes yeux, il n a plus aucune crédibilité depuis qu il ne supprime pas par défaut certains spywares tels que Gator (Glaria) et bien d autres! Il conseille de les conserver ce qui est intolérable pour un logiciel anti espions! Personnellement, je désinstallerais les 2 et je prendrais un logiciels anti hooking, anti trojans et spywares tel que Winpooch téléchargeable ici Par contre, ce logiciel est un peu plus "complexe" que les 2 autres dans la mesure ou tu pourras créér des regles personnalisées selon tes logiciels. Mais en terme de protection, c est bien au dela, des autres logiciels classiques.

Re, Attention, SpywareGuard & Microsoft Antispyware font la meme chose et donc risque de conflit! Tu devrais en désinstaller un!

Dans cas fixe que celles-ci : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - icon_biggrin.gif:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - icon_biggrin.gif:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

Bonsoir, En plus des consignes de did71, il faudra arreter le service France Telecom Routing Table Service . Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: - France Telecom Routing Table Service Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 3/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe

Bonsoir et bienvenu sur le forum sécurité de zebulon, 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode normal que tu posteras aussi.

Salut, Tu peux fixer tout ca : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - icon_biggrin.gif:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\OUTILS~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - icon_biggrin.gif:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing) toutes ces lignes bleues sont inutiles si tu utilises Firefox O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Run: [internet Sweeper] C:\WINDOWS\system32\SWEEPER.EXE /Q O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Télécharger avec &BitSpirit - D:\Program Files\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\PROGRA~1\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} - https://register3.valueactive.com/236/webolr/OCX/FlashAX.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp10.photoprintit.de/microsite/298...IPSUploader.cab Ensuite tu arretes ces services : Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -Ati HotKey Poller -ATI Smart Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé.

Bonjour a tous, Une mise a jour de ce logiciel vient d etre mis en ligne passant de la version 1.6 a la version 1.7. La version 1.6 n était absolument pas au point avec la détection de faux positifs. Je vous en avais d ailleurs parlé sur la discussion Fausses alertes des logiciels anti-malwares : Comme prévu, cette mise a jour corrige le probleme. Vous pouvez a présent mettre a jour votre logiciel. Vous pouvez le télécharger ici

Bonsoir, Je confirme, tu es infecté! Je t invite a suivre dans un premier temps la procédure préliminaire :

Bonsoir a tous Moi je dirais infection par un vilain trojan : Bruce, tu devrais d abort lui faire appliquer la procédure préliminaire!

Re bonsoir a tous, Commence par désinstaller Download Express via "panneau de configuration/ajout-suppression de programmes". La plupart des logiciels de téléchargements integrent des spywares. Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. *Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] F:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Windows ASN Services] zgwd.exe O4 - HKLM\..\RunServices: [Windows ASN Services] zgwd.exe O8 - Extra context menu item: Télécharger en utilisant Download &Express - F:\Program Files\Download Express\Add_Url.htm O15 - Trusted Zone: http://www.google.fr O15 - Trusted Zone: www.yahoo.fr Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -F:\Program Files\Download Express<---supprime tout le dossier -F:\WINNT\system32\asn2.exe -F:\WINNT\system32\azun.exe -F:\WINNT\system32\bbmz.exe -F:\WINNT\system32\drkk.exe -F:\WINNT\system32\fsiy.exe -F:\WINNT\system32\hqzy.exe -F:\WINNT\system32\jtvv.exe -F:\WINNT\system32\kdmo.exe -F:\WINNT\system32\kidy.exe -F:\WINNT\system32\kzjm.exe -F:\WINNT\system32\lifq.exe -F:\WINNT\system32\ncea.exe -F:\WINNT\system32\ohoo.exe -F:\WINNT\system32\qvcu.exe -F:\WINNT\system32\rcdp.exe -F:\WINNT\system32\texl.exe -F:\WINNT\system32\tgic.exe -F:\WINNT\system32\twew.exe -F:\WINNT\system32\uapg.exe -F:\WINNT\system32\uemr.exe -F:\WINNT\system32\ygts.exe -F:\WINNT\system32\yzaa.exe -F:\WINNT\system32\supu.exe - zgwd.exe ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 5/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Windows ASN Services] zgwd.exe<---supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Windows ASN Services] zgwd.exe<---supprime si présent Ferme ensuite le registre 6/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido aucun firewall sur ce rapport! Installes en un! Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature Evidemment! Meme si tu effaces le fichier, il reviendra tant que le registre ne sera pas nettoyé manuellement! Suis ma procédure!

Bonsoir a tous, bonsoir Haret & Bruce Le dernier rapport est encore tres infecté! Je démarre une analyse, réponse dans un moment

Bonsoir, Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a Tu n as aucun parfeu et tu t es chopé une nouvelle bestiole apres la premiere procédure! Commence par installer un firewall! Tu en trouveras 3 gratuits et efficaces dans "les consignes de sécurité" en bas pres de ma signature! Une fois le firewall installé fais ceci : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: - Microsoft Network Service (Network) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138807272140 O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\msnet32.exe 6/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Bonsoir, Désolé de la réponse tardive, j ai commencé le boulot, donc je serais moins fréquent sur le forum! Ton rapport est propre! As tu toujours des dysfonctionnements?

Bonsoir, Rapport incomplet (il manque les renseignements sur le systeme d exploitation) mais propre! Tu peux fixer ces lignes inutiles : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.tvkoo.com/update/KooPlayer.ocx O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

Bonsoir a tous, bonsoir naheulbeuk Ce n est absolument pas Look2Me! Ce n est meme pas infectueux (voir ici) !! Fais attention naheulbeuk, ne fais pas fixer ou supprimer sans vérifier! Si tu as des doutes envoies des MP a d autres conseillers. arnaud paris, ne fixe pas cette ligne 020! Si tu l as fixé, rétabli la avec les sauvegardes faites automatiquement par hijackthis!

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr R3 - URLSearchHook: (no name) - {EE7C7BC5-CA50-C6A9-2CEF-B69EFF4405C2} - C:\WINDOWS\System32\mciokf.dll R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {EE7C7BC5-CA50-C6A9-2CEF-B69EFF4405C2} - C:\WINDOWS\System32\mciokf.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Monitor] Systemwk32.exe O4 - HKLM\..\RunServices: [Monitor] Systemwk32.exe O4 - HKLM\..\RunServices: [Windows Plug and Play] wuasrv32.exe O4 - HKLM\..\RunServices: [MSconfig] MSconfig.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Plug and Play] wuasrv32.exe O4 - HKCU\..\Run: [Kty] C:\WINDOWS\System32\n?lookup.exe O4 - HKCU\..\Run: [Arrm] "C:\Program Files\etws\rrus.exe" -vt ndrv Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\etws<---supprime tout le dossier -C:\WINDOWS\System32\mciokf.dll -C:\WINDOWS\System32\n?lookup.exe -Systemwk32.exe -wuasrv32.exe ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Monitor] Systemwk32.exe<---supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Monitor] Systemwk32.exe<---supprime si présent Windows Plug and Play] wuasrv32.exe<---supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [Windows Plug and Play] wuasrv32.exe<---supprime si présent Ferme ensuite le registre. 7/ Recherche le fichier suivant MSconfig.exe via "démarrer/rechercher/des fichiers ou des dossiers" . S il se trouve dans le dossier C:\Windows\System32 n y touche pas. Si tu en trouves un dans un autre dossier, supprimes le. 8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Bonsoir, Je démarre une analyse de ton rapport, réponse dans un moment

Re bonjour tout le monde, 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -MicroSoft Media Tools Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securityresponse.symantec.com/avcen...o.cgi?vid=18936 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)<--cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\MSmedia.exe -C:\WINDOWS\web<---vide le dossier 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Coucou Angélique! Si si il est infecté

Bonjour et bienvenu sur l forum sécurité de zebulon, Je démarre une analyse, réponse dans un moment

Re bonsoir pollux Ben a vrai dire ca nous fait gagner du temps! Il désactive sa restauration systeme maintenant, on lui nettoie son disque dur, et il réactivera sa restau une fois que tout sera propre! Enfin, c est comme ca que je le vois

Bonsoir et bienvenu sur le forum sécurité de zebulon, Tu es effectivement infecté et ta restauration systeme a été touchée. Voila ce que tu vas faire : 1/ Désactives ta restauration systeme en suivant ce tutorial : http://www.libellules.ch/desactiver_restauration.php 2/ Applique la procédure préliminaire :

Bonsoir et bienvenu sur le forum sécurité, Tu es infecté. Carbolino, appliques la procédure préliminaire dans un premier temps : Il est correct cela dit il est possible de se protéger aussi bien et gratuitement! Je t en dirais plus une fois que ton systeme sera propre. Edit : coucou pollux

Bonjour, Tu as tout a fait raison, ce n est absolument pas suffisant, d autant plus que le parfeu de windows ne filtre pas les flux sortants. Exact! Le firewall de windows (peut on vraiment parler de firewall dans ce cas ) n apparait pas sur un rapport!