tornado

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - Starter - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://www.zebulon.fr/articles/base-de-registre-3.php (comme indiqué précédemment) ------------------------------------------------------------------------------------------------------------------------ 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O4 - HKLM\..\Run: [File System] taskmqrs.exe O4 - HKLM\..\Run: [MICROSFT RPC UPDATE] ebydbsxem.EXE O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKLM\..\RunServices: [File System] taskmqrs.exe O4 - HKLM\..\RunServices: [MICROSFT RPC UPDATE] ebydbsxem.EXE O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe - Clique sur "fix checked" 3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 4/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - WinSyswal32.exe - taskmqrs.exe - ebydbsxem.EXE - msnq3insller.exe - Vide la corbeille NB: Les fichiers, n'indiquant pas leurs chemins, sont probablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. 5/ Lance Starter - Dans le panneau section de gauche : * Rend toi d'abord dans Registre --> Utilisateur courant --> Run Dans le panneau de droite, fais un clic droit sur le fichier WinSyswal32.exe, et choisis Supprimer * Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à WinSyswal32.exe. Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours WinSyswal32.exe) * Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier WinSyswal32.exe NB: Il se peut que tu ne trouves pas WinSyswal32.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification. => Fais la même chose avec les fichiers suivants (si tu les trouves) : - taskmqrs.exe - ebydbsxem.EXE - msnq3insller.exe 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ , mais sers toi uniquement de Jv16 cette fois 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Salut bat_, En vérité, le SP2 pose problème chez une minorité d'utilisateurs de Windows... donc normalement, tout devrait bien se passer (attend qu'on ait désinfecté ton système) Le fait est que ton système est réellement infecté ... Le problème de lenteur peut aussi provenir du fait que tu utilises Norton, très gourmand en ressources. Je posterais une procédure de déisnfection dès que j'en aurais le temps... là faut que j'y aille. A+

Re, Il vaut mieux que tu utilises antivir, car il détectera ce que Norton n'a pas trouvé De toute façon, l'installation et la désinstallation d'antivir ne posent pas problème

Bonjour windu92 et bievenue sur le forum sécu de zébulon, Je ne vois rien de suspect sur le rapport de ton ami... pour l'écran bleu, il est possible que ce soit un problème matériel (c'est même fort probable) Tu peux essayer le scan en ligne de panda. Dis lui qu'il faut qu'il désactive le bouclier Web d'avast avant de faire le scan, car l'activex de panda est détecté comme infectieux par avast (ce qui n'est pas le cas), cela empêche son téléchargement : Rend toi sur cette page --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si il bloque sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+

Bonjour bat_ et bienvenue sur le forum sécurité de zébulon , Ton rapport montre des signes d'infection... (rien de très vilain ). Il te faut donc appliquer la procédure de pré-nettoyage --> http://forum.zebulon.fr/index.php?showtopic=83986 qui te débarassera sûrement de quelques infections. Elle paraît longue ... mais c'est seulement dû au fait qu'elle est très détaillée, pour qu'elle soit accessibles aux novices en informatique. Petite remarque : Ton système n'est pas à jour (pas de SP2)... donc il comporte certaines failles de sécurité non corrigées (les pirates en profitent) Tu le mettras à jour, quand on aura terminé la désinfection. Je te le rappellerais de toute manière A+ et bon courage

Re, Ok ... j'ai testé le fichier sur machine virtuelle, et même message d'erreur. Donc le problème provient de la sauvegarde de Regseeker D'accord . On pourra entamer l'optimisation quand on aura réglé le problème, et sécurisé ton système Tu dois seulement supprimer Killbox.exe (pas tout de suite, on en a besoin plus bas) et blbeta.exe Pour ce qui est de C:\!Killbox (le dossier dont tu parles), son contenu correspond aux sauvegardes de la killbox. On peut les supprimer par le logiciel lui même : - Lance Killbox.exe - Dans le menu , va dans file > cleanup > Delete all Backups - Clique sur OUI - Quitte la killbox, supprime la - Débarasse toi du dossier C:\!Killbox Pour le problème du fichier Backups.reg, je suis en train de fouiller ... j'espère que tu es patient . A+

Salut skylover, Bon, spysweeper n'a trouvé que des cookies ... donc ça nous aide pas trop. Ce trojan, dont tu donnes le nom dans le titre du topic, ne correspond pas des .exe particulière... le problème est que leur nom est aléatoire... Tu vas donc essayer un outil très efficace (antivirus sans installation) , et qui fonctionne en mode sans échec : Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. Bonne chance

Re, Bizarre... pourtant il est bien indiqué que le scan peut se faire sous Windows 98 J'aimerais savoir une chose: Quel est le nom du fichier qui correspond à ce fameux trojan ? As-tu le chemin de ce fichier ? Bon, on peux essayer un antitrojan/antispyware compatible avec Windows 98 : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. PS: Le scanneur est relativement lent... sois patient Bonne chance

Re, Fais ceci (cette fois-ci, c'est la bonne ): Lance hijackthis, "do a system scan only" et coche la ligne suivante : Clique sur "fix checked" et redémarre. Dis moi si cela a fonctionné ... A+ PS: Je ne vois aucun pare-feu d'installé Il faut impérativement que tu en installes un, comme je te l'ai recommandé dans le post ou j'indique quelques conseils (kerio qui s'adapte bien a avast).

Re, Le fichier .reg ne pose pas de problèmes... juste une question : Le lancement du fichier .reg pose problème à quel moment ? Avant la fusion avec le registre (double-clic sur le fichier .reg) ou après (lorsque tu répond à la question "voulez-vous ajouter [...] registre") ? On va essayer de créer une clé "bidon" et de la supprimer, par l'intermédiaire d'un fichier .reg, pour repérer l'origine du problème : * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=> Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\software\clebidon] [-HKEY_LOCAL_MACHINE\software\clebidon] - Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> - Choisis "Enregistrer sous" et choisis "Bureau". - Dans le champ "Nom du fichier" en bas de page donne le nom suivant : clebidon.reg - Dans le champ "Type" en bas de page, choisis: tous les fichiers - Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" - Quitter le Bloc Notes. - Double-clique sur le fichier clebidon.reg crée, répond oui et dis moi si l'exécution du fichier a ou n'a pas posé de problèmes. ----------------------------------------------------------------------------------------------------------- Raison de plus pour ne pas continuer à te servir d'Emule, ça t'évitera de nouvelles infections et comme tu le dis, te permettra de garder un pc réactif. Pour la lenteur au démarrage, peut-être est-ce seulement un "mauvais" entretien du pc ? Est-ce que tu défragmentes ton disque dur régulièrement (c'est un exemple). Cependant, je pense qu'optimiser le démarrage de ton pc (via hijackthis par exemple) lui sera quand même bénéfique... en effet, trop de programmes inutiles sont lancés au démarrage. Tu peux supprimer, parmi tous ces programmes, ceux-là : blbeta Killbox ... car leur utilisation est délicate. Pour le reste ... ça ne pose pas de problème à ton pc. Au contraire, ils permettent l'entretien (softs de netttoyage) et la prévention (scan panda + ewido) sur ton système. J'en reparlerais à la fin, quand on aura réglé le problème de base de registre. A+ A+

Salut Skylover, Bon... peux-tu vérifier ceci que les paramètres dans IE autorisent les activex, comme c'est montré sur cette page --> http://www.inoculer.com/activex.php3 (voir les 2 captures) Si ça ne fonctionne pas non plus, essaye avec un autre scan en ligne comme celui de Kaspersky --> http://webscanner.kaspersky.fr/ Le tuto si tu bloques sur quelques chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 Bonne chance

Salut syntax, Le fichier .reg de Regseeker n'a pas l'air de poser problème... J'aimerais bien essayer chez moi ... peux-tu uploader le fichier en question, de cette manière : - Commence par mettre ton fichier dans un fichier .zip (compresse-le) - Rend toi à cette adresse --> http://www.sendspace.com/ - Clique sur parcourir et recherche sur ton disque dur le fichier de sauvegarde de regseeker - Valide - Coche la ligne "I have read and agree to the terms of service" - Clique sur "Upload file" et attend que la barre de chargement se remplisse - Copie le lien mis à côté de "The link is" - Colle-le dans ton prochain post Pour ce qui est de Blacklight, il n'a rien trouvé... c'est déjà ça de gagné A +

Salut fouz24, Nan, ça ira Et puis ça pourra servir à quelqu'un d'autre. On va essayer avec d'autres programmes au démarrage (donc d'autres lignes) Lance hijackthis, "do a system scan only" et coche les lignes suivantes : Clique sur fix checked et redémarre . Nan c'est pas normal Mais je vois pas pourquoi des spywares envahissent ton pc, alors qu'on vient de le sécuriser ? Pourrais-tu m'envoyer un nouveau rapport hijackthis ? Peut-être qu'un peu d'optimisation ferait du bien sinon... A+

Salut Fouz24, En faisant quelques recherches, le problème proviendrait du lecteur de carte ... mais je ne saurais pas t'expliquer pourquoi... Reste à savoir quel programme parmi les lignes O4 est responsable... Peux-tu essayer ceci ? : - Lance hijackthis, "do a system scan only" et coche la ligne suivante (qui n'est en aucun cas infectieuse, mais peut-être à l'origine du problème): - Fais "fix checked" - Redémarre et dis moi si ça a changé quelque chose. A+

Bonsoir skylover21, Rien d'infectieux sur ton rapport, à part une ligne. Fais donc ceci ; 1/ Déconnecte toi du net et ferme IE (internet explorer) 2/ Lance Hijackthis, "do a system scan only" et coche la ligne suivante : - Clique sur "fix checked" 3/ Fais le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+

Re, Même si Ewido a nettoyé toutes les infections, j'aimerais quand même que tu m'envoie le rapport ... Sinon, ton rapport est propre, beau boulot Cependant, je vois toujours 3 antivirus installés ... je ne comprends pas Est-ce que la désinstallation en mode sans échec a posé problème ? Si c'est le cas, on va devoir opérer manuellement. En attendant, tu peux faire le scan en ligne de panda, pour vérifier qu'il n'y a pas d'autres bestioles qui traînent --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+

Re, J'ai oublié de te demander ... j'ai pas trop compris... Tu veux dire que le poste de travail se lance au démarrage ? A+

Re syntax, Pour ce qui est du rapport panda, rien à signaler... 2 faux positifs. Par contre, tu peux vider le dossier de sauvegarde d'Hijackthis (supprime son contenu) : C:\Program Files\HijackThis\backups Sinon, j'ai une petite remarque : Sûrement une des sources de tes différentes infections... les logiciels de p2p en sont une. Lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544[/color] A présent, tu vas scanner ton système avec Blacklight, un détecteur de malware cachés ou rootkits : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe N'oublie pas d'uploader le fichier .reg A+

Salut fouz24, Ni Kaspersky, ni blacklight ont trouvé quoi que ce soit On peut donc considérer ton système comme propre As-tu toujours des disfonctionnements ? Si tu n'as plus de problèmes, tu vas pouvoir remettre certaines choses en place sur le système : * Je t'avais fait faire ceci pour avoir accès à tous les fichiers => A présent, recache tous ces dossiers pour ne pas en effacer un par erreur ! * Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection : Les pages Web Brute Force Uninstaller => supprime le dossier C:\bfu Blacklight => il vaut mieux t'en débarasser car son utilisation est délicate Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille) * Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php ------------------------------------------------------------------------------------------------------------------------- Pour finir, quelques conseils de sécurité, à lire attentivement et à appliquer : Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : http://www.pcflank.com/ => SpywareBlaster : http://www.javacoolsoftware.com/downloads.html Son tuto : http://www.ordi-netfr.org/tutorialspywareblaster.html => Ad-Aware SE de Lavasoft http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 => SpyBot-Search & Destroy de Patrick Kolla http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php => Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre : http://www.diamondcs.com.au/index.php?page=regprot => Ewido : http://download.ewido.net/ewido-setup.exe c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente) mais il reste efficace ! Mets le à jour avant de scanner ton PC. 2)- Les utilitaires pour nettoyer le PC : => Clean Up 40 : http://www.stevengould.org/software/cleanup/ - Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées : * Empty Recycle Bin * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan (cleanup) - aide en image : (merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm => EasyCleaner de Toni Helenius (installe le dans son dossier) http://personal.inet.fi/business/toniarts/files/EClea2_0.exe Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose. http://personal.inet.fi/business/toniarts/ecleane.htm Tutorial : http://www.uptoopc.net/nettoyer/temporaires.php http://www.uptoopc.net/nettoyer/registre.php http://www.uptoopc.net/nettoyer/autresfonctions.php => ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. => RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks"). Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://www.hoverdesk.net/freeware.htm - Tutorial : http://www.zebulon.fr/articles/regseeker-1.php => JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner. A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant. Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : NB: Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux) Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection... Tu peux donc tous les garder, et t'en servir régulièrement. Sinon, je vois que tu utilises la suite de sécurité panda (qui comprend le firewall et l'av). L'un des éléments de ce genre de suite est souvent un peu faiblard (ici, c'est le firewall) Donc si un jour la licence expire, ou si tu n'es pas satisfait de la protection que Panda t'apporte, tu peux le remplacer, en faisant les couples av/parefeu suivants (gratuits, simples et efficaces) : * Antivir / Zone alarm * Avast! / Kerio /!\ Veille bien à désinstaller Panda (toute la suite) avant d'installer quoi que ce soit Pour le téléchargement et les tutos (ainsi que des explications du fonctionnement de chacun d'eux ) : => les pare-feu : http://benoit.aun.free.fr/securite-facile-php/firewall.php => les antivirus : http://benoit.aun.free.fr/securite-facile-php/antivirus.php A+ PS: Ton log comporte pas mal de lignes inutiles, qui peuvent être fixées. Tu peux te rendre dans le forum "Optimisation/sécurisation" pour optimiser ton log et donc ton système (notamment par le biais des lignes qui correspondent à des programmes au démarrage)

Re, Bon, les 4 rapports n'idiquent rien de suspect... Pour ce qui est des 3 av, on va tenter d'en désinstaller 2 en mode sans échec. Je t'indiquerais de désinstaller Bitdefender et Kaspersky (et de garder avast)... mais si ça ne te convient pas, fais ton propre choix On va en profiter pour fixer une ou deux lignes avec Hijackthis, nettoyer ton système, et scanner ton pc avec Ewido : ------------------------------------------------------------------------------------------------------------------------ La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://www.zebulon.fr/articles/base-de-registre-3.php (comme indiqué précédemment) -------------------------------------------------------------------------------------------------- 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" : - Bitdefender9 - Kaspersky Anti-Virus Personal 3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx - Clique sur "fix checked" 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - ALCMTR.EXE => probablement situé dans C:\Windows ou dans C:\Windows\system32 NB: Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. - C:\Program Files\Softwin - C:\Program Files\Kaspersky Lab - C:\Program Files\Fichiers communs\Softwin - Vide la corbeille 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ , mais sers toi uniquement de Jv16 cette fois 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Salut Fouz24, Ton nouveau rapport Hijackthis est propre ... excellent travail Et ewido t'a débarassé d'un reste de malware dans le registre... A présent, on va vérifier si il n'y a pas de malware cachés (ou rootkits) qui trainent sur ton système : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Ensuite, scanne ton pc avec un av en ligne, tel que celui de kaspersky --> http://webscanner.kaspersky.fr/ (fonctionne sous IE) Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 N'oublie pas le rapport A+ C'est vrai que la procédure est un peu lourde pour ton cas... mais quel bonheur d'avoir un pc propre et réactif !

Re, Quelques remarques pour commencer : * Tu n'as pas suivi la procédure de Mégataupe à la lettre... en effet : Donc il te faut déplacer Hijackthis.exe dans un répertoire dédié ... comme celui mentionné plus haut * Tu as 3 antivirus qui fonctionnent en même temps sur ton système . Cela peut générer des conflits et nuire à l'efficacité de chacun des antivirus. Il te faut donc impérativement désinstaller 2 de ces 3 antivirus, et n'en garder plus qu'un. Fais le via le panneau "ajouter/supprimer des programmes" ---------------------------------------------------------------------------------------------------------------------------- Je ne peux pas me prononcer pour l'instant à propos de ton log... car certaines lignes me sont inconnues. * Avant toute chose, vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : * Ensuite, fais analyser ces 2 fichiers ... : - C:\WINDOWS\system32\tservice.exe - C:\WINDOWS\SYSTEM32\AREVENT.EXE ... par le biais de ces 2 sites : http://virusscan.jotti.org/ (clique sur parcourir, recherche le fichier, clique sur submit et copîe le rapport obtenu pour chacun des 2 fichiers) http://www.virustotal.com/en/indexf.html (clique sur parcourir, recherche le fichier, clique sur send et copîe le rapport obtenu pour chacun des 2 fichiers) => Au final, tu me "devras" 4 rapports, 2 par fichier. A+

Bonjour kappasud et bienvenue sur le forum sécu de zéb', J'ananlyse ton rapport... retour dans 10 - 15 min A+

Bonjour Nooumena et bienvenue sur le forum sécu de zébulon , Ton rapport hijackthis montre de nombreux signes d'infections ... c'est sûrement à cause de ça : Ton système n'est pas du tout à jour, il a plus de 2 ans de retard (aucun service pack) ... les pirates utilisent les failles de sécurité non corrigées pour permettre d'infecter ton pc. Quand on aura terminé la désinfection, je te le ferais rappeler car il vaut mieux faire les màj sur un système propre Mais rassure-toi, moi ou quelqu'un d'autre t'aideront à désinfecter ton système Pour commencer, il va falloir appliquer la procédure de pré-nettoyage, qui te débarassera sûrement de certaines infections --> http://forum.zebulon.fr/index.php?showtopic=83986 Si elle paraît longue, c'est parce qu'elle est très détaillée... A+

Re syntax, C'est donc le fichier .reg qui pose problème ... Pourrais tu l'uploader ? Pour cela, fais-ceci dans ton prochaine réponse : - Depuis le champ "fichiers joints", choisis parcourir - Recherche et sélectionne le fichier .reg (Dossier regseeker --> Backups) - Choisis "Ajouter le fichier" - Ajoute ta réponse (avec le rapport de panda si tu as le temps) A+