Jack_Burton

Oui, une petite chose. Regarde la procédure juste au-dessus.

Bonjour Bon, c'est beaucoup mieux. Il ne reste plus que 2 lignes 09 à supprimer. Voila ce que tu vas faire : 1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : -Enregistrer ce fichier dans : Bureau -Nom du fichier : Fix.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll Clique sur fix checked 4/ Utilisation du fichier: Fix.reg - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. 5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, La rapport est propre. As tu toujours des dysfonctionnements? Par contre, je ne vois pas de firewall (parfeu) sur ton rapport. En disposes tu un? Est-ce que ta version de Bitdefender inclus un firewall?

Bonjour, La ligne infectueuse 017 est revenue. Tu vas repasser FixWareout. Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur. Télécharge le FixWareout d'un de ces deux sites sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes: < O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112> Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis. PS : Installes un parfeu, c'est important. Je te conseille Kerio. Dans les "consignes de sécurité" tu le trouveras avec un tuto pour bien le configurer.

Oui, certains services d'avast sont incompatibles avec ZA c'est pour cela qu'avec cet antivirus il est conseillé d'installer Kerio. Je le mentionne sur mes consignes de sécurité que je donne en fin de procédure. PS : j'ai compris pourquoi le scan de Kapersky ne fonctionne pas, car le lien du scan a changé. A présent, il faut passer par la : http://webscanner.kaspersky.fr/

Oui je viens de remarquer. Ca marche pas chez moi non plus Bon, passons par un autre antivirus en ligne : http://www.pandasoftware.fr/Activescan/Activescan.html PS : le bon lien pour le scan en ligne de Kapersky était celui-ci : http://webscanner.kaspersky.fr/

Oui pas de probleme. Kapersky était donné a titre d'exemple. De toute façcon, je viens de remarquer que mon canned-speech (discours en boite) est périmé. Je te laisse scanner ton systeme avec un antivirus en ligne de ton choix. Par contre, n'oublies pas d'installer un firewall!

Oups, mes "discours en boite" sont périmés . Il faut cliquer sur Online Virus Scanner

Une fois que tu auras installé & configué un firewall, fais ceci : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\oqghym.exe 5/ Redémarre l'ordinateur en mode normal 6/ Fais un scan en ligne avec Kapersky WebScanner Clique sur Online Virus Scanner On va te demander d'installer un contrôle ActiveX ,clique sur Yes. * Le programme va démarrer et télécharger les dernières mises à jour: * une fois la mise à jour terminée,clique sur NEXT * clique sur Scan Settings * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés: o Scan using the following Anti-Virus database: Extended (si possible,sinon:Standard) o Scan Options: Scan Archives Scan Mail Bases * Clique sur OK * A présent sous "select a target to scan": choisis My Computer * Le programme va se lancer et scanner ton systeme. * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté. o A présent clique sur le bouton "Save": * Sauvegarde le fichier sur ton bureau. * Copie/colle le contenu dans ton prochain message accompagné d'un nouveau rapport hijackthis.

Le rapport a été fait en mode sans échec! Il m'en faut un en mode normal. Peux tu me le faire maintenant stp? De nouvelles infections sont apparues. Installes un parfeu maintenant!

Ok, terminons par un petit scan en ligne : Fais un scan en ligne avec Kapersky WebScanner Clique sur Kaspersky Online Scanner On va te demander d'installer un contrôle ActiveX ,clique sur Yes. * Le programme va démarrer et télécharger les dernières mises à jour: * une fois la mise à jour terminée,clique sur NEXT * clique sur Scan Settings * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés: o Scan using the following Anti-Virus database: Extended (si possible,sinon:Standard) o Scan Options: Scan Archives Scan Mail Bases * Clique sur OK * A présent sous "select a target to scan": choisis My Computer * Le programme va se lancer et scanner ton systeme. * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté. o A présent clique sur le bouton "Save": * Sauvegarde le fichier sur ton bureau. * Copie/colle le contenu dans ton prochain message. PS : as tu installé un firewall?

C'est beaucoup mieux. L'infection Wareout est supprimée. Je vois que tu as Ewido. C'est parfait. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. Redémarre en mode Sans Échec (au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages : choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée . Choisis ton compte usuel (et non Administrateur). Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Redémarre en mode normal. poste le rapport dans ta réponse. PS : je ne vois aucun firewall (parfeu) sur ce rapport. Si tu n'en as pas, je te conseille vivement d'en installer un. C'est indispensable pour assurer sa protection sur Internet. Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature avec des tutos pour les configurer.

Ok. Pas grave, cela revient au meme. Je vais rester un petit moment mais pas tard non plus.

Bonsoir et bienvenu sur le forum sécurité de zebulon, Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur. Télécharge le FixWareout d'un de ces deux sites sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes: <O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112> Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Ok. Ben je souhaite pour toi que tout soit rentré dans l'ordre. A présent, je te conseille d'installer les mises a jour de Windows.

Ok. As tu toujours des dysfonctionnements?

Re bonsoir, Le nouveau rapport hijackthis est propre. Peux tu le poster stp?

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm * Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Présence du service France Telecom Routing Table Service (FTRTSVC)! Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - (no file) O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {87185E78-A61B-4DB3-965A-3235BBD7A622} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Documents and Settings\jean marc\Mes documents\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Configuration Loader] filename.exe O4 - HKLM\..\Run: [autoclk] autoclk.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe O4 - HKLM\..\RunServices: [Configuration Loader] filename.exe O4 - HKLM\..\RunServices: [ÿ_zskBYQ`TGQCVY]N] C:\WINDOWS\System32\_zskuninst_003BJ^\N]YVCQGT`QYB.exe O4 - HKLM\..\RunServices: [ÿ_zskiyiocrczxdqxz^xf300_tsninuksz_] c:\windows\system32\_zskuninst_003fx^zxqdxzcrcoiyi.exe O4 - HKLM\..\RunServices: [updwebmin] c:\windows\system32\updwebmin.exe O4 - HKLM\..\RunServices: [updwebmin] c:\windows\system32\updwebmin.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab O20 - AppInit_DLLs: C:\WINDOWS\System32\syst041.dll O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - (no file) O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe La ligne 023 ne devrait plus apparaitre du fait que l'on a coupé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\windows\system32\taskmgn.exe -c:\windows\system32\updwebmin.exe -C:\WINDOWS\System32\syst041.dll -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\System32\_zskuninst_003BJ^\N]YVCQGT`QYB.exe -c:\windows\system32\_zskuninst_003fx^zxqdxzcrcoiyi.exe -filename.exe -autoclk.exe <--- fichier non infecteux mais inutile ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Configuration Loader] filename.exe<---supprime cette valeur si présente *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [ÿ_zskBYQ`TGQCVY]N] C:\WINDOWS\System32\_zskuninst_003BJ^\N]YVCQGT`QYB.exe<---supprime cette valeur si présente [ÿ_zskiyiocrczxdqxz^xf300_tsninuksz_] c:\windows\system32\_zskuninst_003fx^zxqdxzcrcoiyi.exe<---supprime cette valeur si présente Ferme ensuite le registre. 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Redémarre en mode normal. poste le rapport dans ta réponse accompagné d'un nouveau rapport hijackthis. PS : désolé pour l'attente, le téléphone a sonné entre temps Edit : Tu le feras apres! Une chose apres l'autre. Pour le moment, désinfectons ton systeme

Merci. Je te prépare une procédure. Réponse dans un moment.

Peux tu me poster un nouveau rapport hijackthis en mode normal stp?

Re, C'est normal car l'infection bloque son acces. Mais nous le réactiverons, ne t'en fais pas! Utilisation ----- option 2 -Nettoyage : Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec). Double cliquer sur smitfraudfix.cmd Sélectionner 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. Redémarrer en mode normal et poster le rapport sur le forum. N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 Attention que l'option 2 de l'outil supprime le fond d'écran !

Re bonjour, A cette heure-ci, je ne serais plus présent. Et meme si j'avais été présent, je n'aurais pas été opérationnel à cause de la fatigue. Par ailleurs, je ne serais pas trop présent ce week end et la semaine prochaine. J'ai averti un collègue (Régis56). Il prendra le relais lorsque je m'absenterais.

Oui, mais elle ne semble pas etre tres efficace lorsque l'on voit toutes les infections sur ton systeme

Re bonjour, Oui! Je te dirais comment te prévenir une fois que ton systeme sera sain. Par contre, tout à l'heure, j'ai parcouru tres vite ton rapport sans vraiment faire attention. Je ne vois aucun parfeu (firewall) sur ton systeme. C'est pourtant indispensable pour assurer sa sécurité sur Internet. Installes en un dès maintenant afin d'éviter d'accroitre tes infections. Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature, avec des tutos pour les configurer. Je te conseille d'installer Kerio qui fait tres bon ménage avec Avast. Car ton systeme ne dispose pas de firewall donc la porte est grande ouverte pour les bestioles du net.

Bonjour et bienvenu sur le forum sécurité de zebulon, Je confirme, tu es tres infecté. Voila ce que tu vas faire : 1/ Applique la, procédure préliminaire dans le cas ou cela n'aurait pas été fait : http://forum.zebulon.fr/index.php?showtopic=83986 2/ Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/proc...processutil.htm