tornado

Re, Bon ... je crois qu'on trouvera jamais comment déloger olehelp du registre Puisque la solution du fichier .reg n'a pas fonctionné, on va essayer un autre scan anti-spyware, avec un outil différent : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Oui. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Options d'analyse. Sous A analyser, coche les options suivantes: Analyser la mémoire Analyser le Registre Analyser les cookies Analyser tous les comptes utilisateurs Activer l'analyse directe du disque Analyser le contenu des fichiers compressés Analyse à la recherche de rootkits DÉCOCHE Ne pas analyser les dossiers de restauration du système (uniquement pour Windows Me et XP). [*]Clic Analyser sur la gauche. [*]Clic sur Démarrer. [*]Quand le scan est terminé, clic sur Suivant. [*]Assure-toi que tous les items sont cochés, puis clic sur Suivant. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Journal de session au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Récapitulatif, puis clic sur Terminer. [*]Colle le contenu du "Journal de session" dans ta prochaine réponse. A+

Re, Mouarf! Si Panda nous donnait le chemins de la ou les clés détectées Etant donné que Spybot ne trouve rien, on va créer un fichier .reg (pour supprimer) à partir de la liste des clés/valeurs créés par olehelp disponible sur le net : =============================================================== * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=> Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svchost"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"=- "Search Page"=- "Use Search Asst"=- "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] "Default"=- "Provider"=- - Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> - Choisis "Enregistrer sous" et choisis "Bureau". - Dans le champ "Nom du fichier" en bas de page donne le nom suivant : remove.reg - Dans le champ "Type" en bas de page, choisis: tous les fichiers - Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" - Quitter le Bloc Notes. - Double-clique sur le fichier remove.reg crée, répond oui à la question "Voulez vous ajouter..." ======================================================= Une fois que tu auras fait ceci, refais le scan en ligne de panda et indique le rapport A+

Re, On dirait que CWSShredder n'a pas fait effet (cf le rapport de panda) L'as tu bien utilisé ? On peut essayer avec Spybot (que tu as déjà apparemment) : - Lance Spybot S&D - Commence par vérifier les mises à jour disponibles (Bouton MAJ et Vaccination => http://www.pcentraide.com/index.php?showtopic=229) - Ensuite, lance un scan via le bouton Vérifier tout - Une fois le scan terminé, clique sur Corriger les problèmes - Puis fais un clic droit dans la fenêtre des éléments trouvés - Choisis "Sauver tout le rapport dans le fichier" et enregistre le rapport dans un endroit "sûr" - Copie l'intégralité du rapport et met le dans ton prochain post - Après avoir utilisé Spybot, refais le scan en ligne de panda et met le rapport obtenu A+

Re, Bon ce n'est pas grave... on va quand même fixer la ligne correspondante dans Hijackthis, par précaution. La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" ) ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware --> http://www.ewido.net/en/download/ - Pour commencer, installe Ewido en suivant les instructions données par le logiciel - Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. - Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" - Ferme Ewido. Ne pas le lancer tout de suite. Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - Starter --> http://telechargement.zebulon.fr/185-starter.html - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php Etape 3 : Désactivation du service espion de FT Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) recherche le service suivant: France Telecom Routing Table Service Quand le service est trouvé, pointe dessus, double-clique (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter, puis déroule le Type de Démarrage pour le modifier en Désactivé Clique sur Appliquer puis OK Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe O4 - HKLM\..\Run: [0123456789012345678901234567890123456789012345678901234567890123456789012345678 90123456789012345678901234567890123456789012345678901234567890123456789012345678 90123456789012345678901234567890123456789012345678901234567890123456789012345678 9012345678912345678] C:\Program Files\user32.exe O4 - HKLM\..\RunServices: [windows] hkey.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM - Clique sur le bouton "Fix checked" Etape 5 : Modification de l'affichage des fichiers/dossiers (à part si tu l'as déjà fait) A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 6 : Suppression des fichiers infectieux Depuis l'explorateur Windows : => Supprime les fichiers suivants, si ils existent encore (en gras) : - C:\WINDOWS\system32\0106.exe - C:\Program Files\user32.exe - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe - hkey.exe NB: Les fichiers n'indiquant pas leurs chemins sont probablement situés dans les répertoires C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. => Vide la corbeille Etape 7 : Utilisation de starter On va maintenant vérifier si certaines clés de registre (clés de "démarrage") ont bien disparu à l'aide d'un logiciel qui s'apparente à une sorte de Msconfig avancé et amélioré : - Lance Starter depuis le raccourci du bureau - Dans le panneau section de gauche : * Rend toi d'abord dans Registre --> Utilisateur courant --> Run Dans le panneau de droite, fais un clic droit sur le fichier hkey.exe, et choisis Supprimer * Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à hkey.exe. Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours hkey.exe) * Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier hkey.exe NB: Il se peut que tu ne trouves pas hkey.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification. * Fais exactement la même chose pour le fichiers suivants - 0106.exe - user32.exe Etape 8 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec Easycleaner (pour les fichiers temporaires et le registre) -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 9 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 10 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces : Etape 11 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 12 : Scan Panda + Scan Blacklight * Scan Panda Ne pouvant être effectué en mode sans échec, on va compléter le scan Ewido par un scan antivirus en ligne , celui de panda => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 * Scan Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans Un fichier texte (mets le sur le bureau par exemple). NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Etape 13 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ======================================================================= Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le contenu de C:\vundofix.txt - Le rapport d'Ewido - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Re, Est-ce que tu as vérifié que l'affichage des dossiers fichiers/dossiers cachés et système est activé, de cette manière ? - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Si non, fais-le et retente les différentes analyses. A+

Re, Le nouveau rapport Hijackthis est propre... bon boulot . Euh en fait non , j'ai oublié de te faire fixer une ligne (ferme IE avant de la fixer): Désolé pour ce désagrément... . Si tu peux, remet un rapport Hijackthis après l'avoir fait. Concernant le rapport de panda, des fichiers/dossiers infectieux ont été détectés mais pas supprimés. Tu vas donc supprimer les fichiers/dossiers (ça ne devrait pas poser problème en mode normal) : C:\program files\180 => le dossier C:\windows\system32\CSUninstall.exe => le fichier Quand tu auras fait ceci, on va supprimer la trace de CWS.olehelp en utilisant un outil spécialement créé pour ce genre d'infection (type Cws.) : - Télécharge CWSShredder - Lance cwshredder.exe - Clique sur le bouton [Fix] (en bas à droite) - Laisse l'outil scanner le système - Clique ensuite sur [Next] - Puis, dans la nouvelle fenêtre, quitte le programme en cliquant sur [Exit] Après avoir fait ceci, scanne de nouveau ton système avec l'antivirus en ligne de panda, et met le rapport obtenu dans ton prochain post. A+

Re, Il reste encore des lignes infectieuses (mais aussi certaines superflues) sur ton rapport Hijackthis. Ewido a bien travaillé. Blacklight n'a rien trouvé, c'est un bon signe . Si Easycleaner ne fonctionne pas, on peut le remplacer par un autre logiciel équivalent : CCleaner (on va l'utiliser en mode normal, ça ne posera pas de problème Pour panda, j'avais complétèment oublié que tu avais Avast; en effet il détecte l'activex de Panda comme infectieux, alors que ce n'est pas le cas. Par ailleurs, étant donné que ZA a des disfonctionnements (risque de sécurité), tu vas le remplacer par un autre pare-feu (début de la procédure) Peux-tu donc faire ceci ? (en mode normal): ============================================== 1/ Modifie l'emplacement d'Hijackthis, en le déplaçant du bureau vers un reépertoire dédié, afin de ne pas perdre les sauvegardes. Par exemple, créé un dossier Hijackthis dans C:\Program Files et déplaces-y Hijackthis.exe 2/ Commence par désinstaller Zonealarm via "ajouter/supprimer des programmes" (panneau de configuration) Ensuite, on va le remplacer par un autre Pare-feu gratuit et efficace : Kerio - Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html - Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php 3/ Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). 4/ Déconnecte-toi du net 5/ Lance Hijackthis, "do a system scan only" et coche les lignes suivantes : Clique sur Fix checked après avoir fermé toutes les fenêtres à part celle d'hijackthis 6/ Lance CCleaner en double cliquant sur CCleaner.exe -=Suppression des fichiers temporaires=- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur" Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé) Clique sur Analyse Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. Une fois le scan terminé, clique sur Lancer le Nettoyage -=Suppression des incohérence du registre=- Clique sur l'icône Erreurs situé dans la marge à gauche. Puis clique sur Analyser les erreurs Patiente pendant que CCleaner scanne ton registre. Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. Tu peux cliquer ensuite sur Corriger les erreurs. Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement. 7/ Désactive le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) 8/ Reconnecte toi à Internet 9/ Fais le scan en ligne de panda et sauvegarde le rapport. Si il ne fonctionne toujours pas, essaie celui de Kasperky ici. Le tuto (noublie pas le rapport du scan) 10/ Réactive le bouclier Web d'avast 11/ Refais un scan Hijackthis, et sauve le rapport ============================================================== Au final, tu dois mettre dans ta prochaine réponse: - le rapport de panda (ou celui de Kasperksy) - le nouveau rapport Hijackthis A+

Re, Avant qu'on commence la désinfection, j'aimerais que tu fasses anlayser ce fichier => C:\WINDOWS\system32\Suchspur.dll ... par l'intermédiaire de ces 2 sites : => http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne Suchspur.dll, clique sur Ouvrir, puis sur Submit ) => http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne Suchspur.dll, clique sur Ouvrir, puis sur Send ) Au final, tu obtiens un rapport pour chaque scan. Copie-les un à un et colle-les dans ton prochain post. Profite du mode normal (la procédure dans mon prochain post devra se faire en mode sans échec) pour installer un vrai pare-feu. En effet, celui d'xp n'est pas suffisant, il ne filtre pas en sortie... cela signifie qu'un malware ayant infecté ton sytème peut se connecter au net et par exemple, transmettre des informations personnelles. Je t'invite donc à installer un pare-feu efficace, tel que Kerio, qui est gratuit, simple d'accès, et s'associe bien avec ton antivirus Avast : - Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html - Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php De cette manière, on évitera tout nouvelle réinfection, car tu n'avais plus aucun pare-feu tout en naviguant sur le net A+

Re, Les traces de Smitfaud ont disparu du rappot Hijackthis ... mais il va falloir s'occuper à présnet des autres infections. Je prépare une procédure de désinfection, réponse d'ici 20 min environ A+

Ok moutmout, je vais suivre ça de près Par contre, si tu fais une réparation de Windows, pense au redémarrage à mettre à jour Windows etc De plus, la plupart des infection auront sûrement disparu... mais pas toutes (car le contenu du dossier Windows sera remplacé) Il faudra donc refaire la procédure de pré-nettoyage... A+

Bonsoir melo et bienvenue sur le forum sécurité de zébulon, Ton rapport montre des signes d'infections. Mais on va remédier à ça, donc tu peux être tranquille Pour commencer, on va rechercher puis éliminer les traces du trojan smitfraud : ================================================================= Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. Utilisation ----- option 2 -Nettoyage : Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec). Double cliquer sur smitfraudfix.cmd Sélectionner 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. Redémarrer en mode normal et poster le rapport sur le forum. N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 Attention que l'option 2 de l'outil supprime le fond d'écran ! ======================================================= Au final, j'ai besoin de 3 rapports, à coller dans ton prochain post : - celui de l'étape Recherche (option 1) - celui de l'étape Nettoyage (option 2) - Un nouveau rapport Hijackthis, généré en mode normal, après application de l'option 2 A+ NB : De quel Firewall parles-tu ?

Bonsoir scarbo, Ton rapport Hijackthis montre des signes d'infections... Donc, avant de passer à une désinfection "ciblée", il te faut appliquer la procédure de pré-nettoyage, qui te débarrassera problème d'une partie des infections présentes (et ce même si tu possèdes déjà Antivir )=> http://forum.zebulon.fr/index.php?showtopic=83986 Après application de la procédure, n'oublie pas de mettre : * Un nouveau rapport Hijackthis * Le rapport du scan d'Antivir Remarque : Profite du mode sans échec pour désinstaller un de tes 2 antivirus (2 antivirus ne peuvent cohabiter, car cela génère des conflits système). Je te conseille de garder Antivir, et de désinstaller l'antivirus de Zonealarm (ne désinstalle que l'antivirus, ne touche pas au pare-feu de ZA) A+

Ok ... (si j'ai bien compris, c'etait bien à cause de ZA ?) Peut-être à une prochaine fois PS: Et ton message d'erreur ? La solution donnée a-t-elle fonctionné ? Si non, je te conseille de poster dans le forum Software

Merci kidibou... J'attendais d'avoir plusieurs cas similaires pour être sûr que ZA était en cause... Faut vraiment que Zonelabs fasse quelque chose là Et non ! Ce n'est pas vraiment un pare-feu que possède avast (plutôt un "complément" au pare-feu) Donc, , désinstalle ZoneAlarm vai "ajouter/supprimer de programmes" et remplace-le par un autre pare-feu gratuit et efficace =>Kerio (par souci de sécurité, le pare-feu de Windows étant insuffisant) - Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html - Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php Donc ne touche pas à la procédure que j'ai donné plus haut (tiens compte quand même du commentaire par rapport à Peerguardian ) Pour ce qui est du message d'erreur, j'ai déjà répondu. A+

(je précise que je réponds à sarah ... ) Re, Bon... il existe un autre Antivirus du genre. Veille bien à désinstaller Escan dans un premier temps. Tu vas essayer (sait-on jamais) : Étape 1: Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple. Désactive, le temps de la procédure, tous les contrôleurs d'intégrité (si présents) comme le tea timer de Spybot, Process Guard, Hanti hook, Winpooch, etc.. Note: Les possesseurs d'Avast antivirus ne doivent pas utiliser Sysclean autrement qu'en mode sans échec car Avast considère sysclean.com comme infecté par le virus VBS:Redlof !!Pour scanner le pc en mode normal(en cas de problème pour accéder au mode sans échec) il faudra désactiver Avast le temps du scan pour éviter tout conflit.(cette remarque peut être valable pour d'autres antivirus!) Étape 2: Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer. Étape 3: Mise à jour. Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept. Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer. Étape 4: Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".) Choisir le compte usuel (et non Administrateur). En cas de problème , appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" Étape 5: Comment utiliser Trend Micro Sysclean Package : Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir. coche la case "Automatically clean or delete detected files" Clique sur le bouton Scan Patiente le scan peut prendre du temps! Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. Si ça ne fonctionne pas, je pense qu'il va falloir penser à désinstaller IE7 et à revenir à la version précédente, afin de pouvoir faire les scans en lignes => http://forum.zebulon.fr/index.php?act=ST&a...=38&t=96007 A+

Salut yoomi et bienvenue sur le forum sécurité de zeb', Pourrais tu créer un nouveau topic ( Bouton [Nouveau] en bas de page) en y ajoutant les disfonctionnements rencontrés avec ton système, et bien sûr ton rapport Hijackthis ? Parce que sinon, on risque de se perdre A+ et merci pour ta compréhension NB: Attend avant d'appliquer ce que j'ai recommandé à sarah keaton, chaque cas/rapport est spécifique et nécessite donc une solution spécifique (à part si tu parles de la procédure de pré nettoyage bien sûr )

Re, Je ne vois pas trop le rapport avec la carte graphique . Par contre, pour ce qui est du message d'erreur, c'est probablement le cas... As-tu essayé la solution donnée par pitbac23 ? ( http://forum.zebulon.fr/index.php?showtopic=39994) Pour Zonealarm, as-tu essayé une désinstallation/réinstallation ? Si ça ne fonctionne pas, tu peux essayer ceci : ============================================== 1/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" : - Peerguardian => logiciel qui ne sert à rien, ce n'est pas lui qui va t'empêcher d'être repéré...[/color] - SP2 Connection Patcher => peut-être que le logiciel n'a pas bien fonctionné... et empêche de faire fonctionner ton système 2/ Redémarre... et dis moi si tu observes des changements 3/ Si tu n'as toujours pas récupéré ta connexion, essaie ceci : - Télécharge Winsockfix d'O^E sur cette page---> http://www.tacktech.com/display.cfm?ttid=257 (Winsockfix.zip) - Dézippe-le sur le bureau - Lance WinsockFix.exe - Clique sur le bouton Fix - Redémarre et dis ce qu'il en est. ====================================================== A+ , en espérant que tu auras résolu au moins 1 des 2 problème

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" ) ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware --> http://www.ewido.net/en/download/ - Pour commencer, installe Ewido en suivant les instructions données par le logiciel - Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. - Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" - Ferme Ewido. Ne pas le lancer tout de suite. Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php Etape 3 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE (Programme espion de Realtek, qui collecte des infos sur l'utilisateur) O4 - HKCU\..\Run: [LDM] \Program\ O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} - http://hoylegames.sierra.com/cab/WONWebLauncherControl.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.cab (ne coche pas toutes ces lignes O16 si tu as une basse connexion) O18 - Protocol: bw+0 - {56287A80-004C-4000-B585-5DFEBFAD6BF5} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (de la première à la dernière ligne identique) - Clique sur le bouton "Fix checked" Etape 4 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer le bouton : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer à tous les dossiers". Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 5 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Supprime les fichiers suivants, si ils existent encore (en gras) : - C:\APPS\IE\offline\fr.htm - C:\Windows\system32\ALCMTR.EXE => Vide la corbeille Etape 6 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec Easycleaner (pour les fichiers temporaires et le registre) -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 7 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 8 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces : Etape 9 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 10 : Scan Panda + Scan Blacklight * Scan Panda Ne pouvant être effectué en mode sans échec, on va compléter le scan Ewido par un scan antivirus en ligne , celui de panda => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 * Scan Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). =================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Re, Pour ZA, soit c'est un problème de configuration, soit c'est le logiciel même qui pose problème. Regarde ici pour la configuration du logiciel => http://benoit.aun.free.fr/securite-facile-php/zonealarm.php Si ça ne fonctionne toujours pas, dans un souci de sécurité, je t'invite à opter pour un autre firewall, tout aussi efficace et gratuit également : Kerio - Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html - Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php (ne pas tenir compte de l'onglet "Sécurité système", qui a disparu depuis quelques versions) Pour le rapport Hijackthis, il n'y a pas eu de changements par rapport au précédent (toujours 2/3 lignes infectieuses) Pour le rapport d'Antivir, le fichier détecté dans la restauration système a été supprimé Pour le scan de jotti, c'est bon signe si le fichier n'est plus présent (infection inactive) Je prépare une procédure de désinfection, réponse d'ici 10 - 15 min A+

Re, Je ne vois aucune infection sur ton rapport... J'ai une question : Depuis quand as-tu eu une perte de connexion ? (installation d'un logiciel, suppression d'un malware ?) A+

Bonjour le surfeur masqué, Evite d'utiliser le scanneur/robot d'Hijackthis (hijackthis.de), il arrive souvent qu'il se trompe Sinon, il semblerait que tu n'ai effectivement plus de pare-feu d'après ton rapport Hijackthis... le meiux serait de désinstaller complètement ZA (via ajouter/supprimer des programmes), et de le réinstaller. Toujours est-il que ton rapport montre des signes d'infection (pas grand chose certes ). Donc tu vas faire ceci pour commencer : ======================================== 1/ Applique la procédure de pré-nettoyage => http://forum.zebulon.fr/index.php?showtopic=83986 2/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 3/ Ayant des doutes sur un fichier de ton rapport, fais analyser : C:\WINDOWS\Fonts\acole.dll (si présent) ... par l'intermédiaire de ces 2 sites : => http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne acole.dll, clique sur Ouvrir, puis sur Submit ) => http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne acole.dll, clique sur Ouvrir, puis sur Send ) ========================================= Au final, J'ai besoin de 3 rapports : - celui d'Hijackthis, effectué après application de la procédure - ceux des 2 scans en lignes (si tu trouves le fichier) A+

Salut vincelamoket Il semblerait que cela soit en rapport avec ta carte graphique. Regarde ici pour la solution du problème => http://forum.zebulon.fr/index.php?showtopic=39994 Ca serait bien que tu envoies un rapport Hijackthis (fais le à partir du poste défectueux; et copie le fichier .txt sur une clé usb par exemple, pour le mettre sur ton mac) : - Télécharge Hijackthis de Merjin --> http://www.merijn.org/files/hijackthis.zip - Dézippe-le dans un répertoire dédié ; crée par exemple un dossier C:\program files\Hijackthis et mets-y Hijackthis.exe - Lance Hijackthis.exe, clique sur "Do a system scan and save a logfile" , puis sur le bouton scan - Un fichier texte est enregistré dans le même répertoire qu'Hijackthis, c'est le rapport. A+

Bonjour à tous, Je remonte ce vieux topic, au cas où ça intéresserait quelqu'un D'autant plus que je viens de rajouter 2-3 logiciels, et de mettre à jour les liens... A+

Bonjour Moonlight1 et bienvenue sur le forum sécurité de zébulon, Ton rapport montre des signes d'infections. Donc, pour commencer, applique la procédure de pré-nettoyage, qui va sûrement te débarasser en partie des infections => http://forum.zebulon.fr/index.php?showtopic=83986 A+ et bonne chance NB : Les infections sont sûrement dû au fait que ton système n'est pas à jour (tu n'as pas installé le SP4)

Salut Sarah keaton, J'espère que tu as réussi tes exams C'est un patch pour msn c'est ça ? Est-ce que tu as cherché dans la liste d" Ajouter/supprimer des programmes" (panneau de configuration) Au pire, désinstalle Msn messenger (via Ajouter/supprimer des programmes) et réinstalle-le (il a changé de nom, c'est Windows live messenger maintenant) Si tu veux sauvegarder tes smileys, utilise ce logiciel Mais là on s'éloigne du sujet... j'aurais aimé le rapport du scan d' eScan Antivirus Toolkit Ou au moins un rapport de panda, car je vois que tu as réussi à installé l'activex... Le rapport Hijackthis est propre, mais ça, on le savait déjà A+