tornado

Re babar51, Le scan hijackthis a été fait en mode sans échec... j'ai besoin d'un rapport généré en mode normal Et tu as oublié le rapport d'ewido... pourrais-tu le poster également ? Au passage, je vais te demander de faire un scan avec un utilitaire pour détecter les rootkits (malwares cachés), car Wareout a peut-être laissé quelques traces : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - Starter --> http://telechargement.zebulon.fr/185-starter.html - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php Sinon, tu peux sauvegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi. 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle les logiciels suivants (si présents) via le panneau "ajouter/supprimer des programmes" (panneau de configuration) : - MyWebSearch - RXToolBar - Need2Find - msnet - TBONBin 3/ Aller dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: System Messenger Service Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir cliquer sur (b]Delete a NT service...[/b] la fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : WINSMSC Note : s'assurer de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer. Cliquer NO 4/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.media-search.net/nph-search....k=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.media-search.net/nph-search....ok=stmpl1&find= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.media-search.net/nph-search....ok=stmpl1&find= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.media-search.net/nph-search....k=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.media-search.net/nph-search....ok=stmpl1&find= R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.media-search.net/nph-search....ok=stmpl1&find= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.media-search.net/nph-search....ok=stmpl1&find= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.media-search.net/nph-search....ok=stmpl1&find= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hhttp://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find= R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\4.bin\ND2FNBAR.DLL O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Program Files\RXToolBar\RXToolBar.dll O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: Need2Find Bar - {4D1C4E89-A32A-416B-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\4.bin\ND2FNBAR.DLL O4 - HKLM\..\Run: [Media-Search] "C:\Program Files\msnet\v9\msnet.EXE" /H O4 - HKLM\..\Run: [Windows Firewall] wscntfg.exe O4 - HKLM\..\Run: [Discovery Service] dcrsvc32.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\RunServices: [twunk service] twunk16.exe O4 - HKLM\..\RunServices: [Windows Firewall] wscntfg.exe O4 - HKLM\..\RunServices: [Discovery Service] dcrsvc32.exe O4 - HKCU\..\Run: [tbon] C:\Program Files\TBONBin\tbon.exe /r O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutio...bridge-c266.cab O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://fr.errorsafe.com/pages/scanner_fr/E...erInstallFR.cab O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_...gamesloader.cab O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll - Clique sur "fix checked" 5/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 6/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - C:\Program Files\Need2Find - C:\Program Files\MyWebSearch - C:\Program Files\RXToolBar - C:\Program Files\TBONBin - C:\Program Files\msnet - C:\WINDOWS\smsc.exe - C:\WINDOWS\System32\P2P Networking - C:\WINDOWS\web\related.htm - wscntfg.exe - dcrsvc32.exe - twunk16.exe - Vide la corbeille NB: Les fichiers n'indiquant pas leurs chemins sont probablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. 7/ Lance Starter - Dans le panneau section de gauche : * Rend toi d'abord dans Registre --> Utilisateur courant --> Run Dans le panneau de droite, fais un clic droit sur le fichier wscntfg.exe, et choisis Supprimer * Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à wscntfg.exe. Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours wscntfg.exe) * Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier wscntfg.exe NB: Il se peut que tu ne trouves pas wscntfg.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification. Fais strictement la même chose avec les fichiers suivants : - dcrsvc32.exe - twunk16.exe 8/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 9/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 10/ Répète l'étape 8/ 11/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+ PS: Oui, un des modérateurs du forum va normalement s'en charger

Re sms, Va falloir fermer le deuxième topic que tu as créé ... Ton pc est bien infecté... je prépare donc une procédure, réponse d'ici 30 min environ (voire plus ) A+

Salut sms et bienvenue sur le forum sécu , Il manque presque toute la partie inférieure du log... pourrais-tu copier l'intégralité du contenu du fichier texte, stp ? A+

Salut zloofy et bienvenue sur le forum de zébulon , Oui, bien sûr... d'ailleurs le formatage n'est pas toujours une solution (certains virus infectent le secteur de boot du disque dur, et quand tu formates, tu réinstalles un windows sans mises à jours, avec pas mal de failles de sécurité...) Je te conseille donc d'appliquer la procédure de pré-nettoyage --> http://forum.zebulon.fr/index.php?showtopic=83986 Et de poster le rapport hijackthis qui en découle... Et surtout, ne te décourage pas, on va arriver à désinfecter ton système A+

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php Sinon, tu peux sauvegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi. 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O4 - HKCU\..\Run: [ActionScr] runload32.exe O4 - HKCU\..\Run: [Kargo] Uint32.exe O4 - HKCU\..\Run: [backd] clamav.exe O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernels8.exe O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version6/Applet/vchatsign.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {5F05A225-0F66-43DE-89E4-6FFD589C4F01} (OC web Installer) - http://www.objectcube.com/dc5/aebn/files/o...CubeInstall.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/Downloads/AXELPlayerAX_Win32.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1122828321359 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab - Fais "fix checked" 3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 4/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - runload32.exe - Uint32.exe - clamav.exe - C:\WINDOWS\system32\kernels8.exe - Vide la corbeille NB: Les fichiers n'indiquant pas leurs chemins sont propbablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. 5/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 6/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 7/ Répète l'étape 6/ 8/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Re babar51, Ca a fonctionné Je te rassure... on est loin d'avoir terminé la désinfection de ton pc . Or il est possible que ce problème provienne d'une infection. Tu va t'occuper du reste des infections, en suivant la procédure que je vais mettre dans mon prochain post, d'ici une bonne demi-heure A+

Re, Fixwareout a apparemment bien fonctionné... on va maintenant fixer les lignes qui lui correspondent dans hijackthis : Lance HijackThis. Clique sur Scan et coche les lignes suivantes: O17 - HKLM\System\CCS\Services\Tcpip\..\{30C6946C-45EC-43AE-A2CB-7F98C467FF0F}: NameServer = 85.255.114.52,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{6E8D2A18-EE09-44BA-9C6B-8846EBCB8C8C}: NameServer = 85.255.114.52,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CE9BC5-874D-45F3-9AC9-DAC5C25C1426}: NameServer = 85.255.114.52,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{BBD9C008-4DF4-4843-88B3-4E2C8DC40766}: NameServer = 85.255.114.52,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEC19058-8439-430B-8F58-E7F840FA9C33}: NameServer = 85.255.114.52,85.255.112.12 Clique sur Fix Checked. Ferme HijackThis. Redémarre le pc. Fais un nouveau scan hijackthis, et poste le rapport.

Re babar91, Etant donné que ton pc est pas mal infecté, on va pas tout désinfecter en même. Va serait trop lourd pour toi, et certaines manips risquent de ne pas fonctionner. On va d'abord s'occuper de Wareout : Télécharge FixWareout de l'un de ces deux liens : http://downloads.subratam.org/Fixwareout.exe http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe Sauvegarde-le sur ton Bureau, puis lance-le. Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish. Suis les directives à l'écran. L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît. Le redémarrage risque de prendre un peu plus de temps; ceci est normal. Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également. A+

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php Sinon, tu peux suavegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi. 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" (panneau de configuration): - Mywebsearch --> si présent 3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm070 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1139672921203 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab - Fais "fix checked" 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - C:\Program Files\Mywebsearch (si présent) - C:\WINDOWS\web\related.htm - Vide la corbeille 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Salut drareg94, Un point procédure de la procédure que tu as oublié : Il faut que tu crées un répertoire dédié pour hijackthis, afin de ne pas perdre les sauvegardes. Par exemple, crée un dossier C:\Program Files\hijackthis et déplaces-y Hijackthis.exe Je prépare une procédure, réponse d'ici 10 min A+

Petit changement de programme... Haxfix ne détecte pas cette variante de Haxdoor... il va falloir éradiquer le malware manuellement. Commence par faire ceci : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Ensuite, tu va utiliser le "misc tools" d'hijackthis, pour générer un log plus "détaillé" : - Lance hijackthis - Clique sur Open Misc Tools Section - Assure toi que les deux cases de droite sont bien cochées: List all minor sections (Full) List Empty Sections (Complete) - Clique sur Generate StartupList Log - Clique sur "oui" lorsque l'on te le demande. - Cela va générer un rapport, copie-le et poste le ici. (merci à Charles ) Bon courage

Re, Arf... mauvaise nouvelle. J'ai l'impression qu'on a affaire à une nouvelle version du trojan haxdoor : changement de programme : SUIVRE LES INSTRUCTIONS DU POST SUIVANT

Salut thebear, Ewido t'a supprimé un tas de malwares... et panda en a également supprimé. Ton dernier rapport hijackthis montre toujours de signes d'infection... Je prépare une procédure de désinfection, réponse dans 15 min

Salut casus, Pour l'optimisation, c'est à toi de voir. Sur le forum, on a tendance à optimiser les rapports après une désinfection ("le site de l'optimisation pc" )... mais tout ça ne dépend que de toi. Sur un log hijackthis, on pourrait fixer toutes les lignes, sauf celles du firewall, de l'antivirus, et la connexion. Mais avant ça, la désinfection n'est pas terminée. J'avais indiqué à L@urendo de te faire faire le scan en ligne de panda, pour vérifier si ton système est désormais propre, mais apparemment il n'est pas là. Donc tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm A+

Salut gium, pitcat , Puisque tu es là et que pitcat ne l'est pas , tu peux passer à l'option 2 de Smitfraudfix, pour supprimer les fichiers malveillants trouvés lors de l'option 1 (en mode sans échec) : Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec). Double cliquer sur smitfraudfix.cmd Sélectionner 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. Redémarrer en mode normal et poster le rapport sur le forum. N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 Attention que l'option 2 de l'outil supprime le fond d'écran ! process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/proc...processutil.htm Bonne continuation

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Aller dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: Windows Log Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration" va s'ouvrir cliquer sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : Windows Log Note : s'assurer de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer. Cliquer NO 3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 4/ Recherche et supprime le fichiers/dossier en gras via l'explorateur Windows (si ils existent encore) - C:\WINDOWS\system32\nvsvcd.exe - Vide la corbeille 5/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 6/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 7/ Répète l'étape 6/ 8/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Salut freeboy et bienvenue sur le forum de zébulon, Ton log montre des signes d'infections, mais rien de très coriace... Je prépare une procédure, réponse dans 10 min environ. A+

Salut babar91 et bienvenue sur le forum de zébulon, Pas de "bonjour", ni de "salut" ... Ton log hijackthis montre que ton système est multi-infecté, mais ne t'inquiète, on va y remédier Pour commencer à faire le ménage sur ton système, je t'invite à suivre la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986 Et poste un rapport hijackthis, après application de la procédure. Bon courage

Salut Rick0369, naheulbeuk Je me permets de faire une petite remarque au passage : Ca saute aux yeux que c'est un malware Avec ce nom là Regarde ici --> http://virusinfo.prevx.com/pxparall.asp?re...XC=674117261713 Voilà...en plus, j'ai déjà rencontré cette ligne dans un autre log

Salut ElVicenzo, et bienvenue sur le forum de zébulon Peut-être un conflit avec le pare-feu de Windows, va savoir... Je me méfie des Firewall fournis avec l'antivirus ("Suites de sécurité"). Il vaut mieux que tu installes un pare-feu "séparément", qui sera par ailleurs plus efficace... et comme je n'en vois aucun sur le rapport que tu viens de poster, je te conseille donc d'en installer un "vrai", comme Kerio ou Zone Alarm qui sont simples, gratuits et efficaces. - Kerio Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php - Zonealarm Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1 Et le paramétrer selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm NB: L'installation d'un des ces firewalls se suivera de la désactivation automatique du pare-feu d'xp. Mais il faut quand même que tu t'en assures ( Panneau de config° ---> Centre de sécurité ---> pare-feu Windows ) Oui, mais je ne pense pas aux petites màj ( celles qui apparaissent pratiquement tous les moins), mais plutôt aux grands correctifs tels que les services packs... connus pour poser certains problème chez pas mal de monde A vrai dire, je sais pas trop quoi répondre... j'ai jamais vraiment eu de problèmes avec les petits correctifs, ni avec les grands ( j'en ai de la chance ) Peut-être parles-tu du Service Pack n°2 ou plus communément appelé SP2 Il vaut mieux installer toutes les MAJ. C'est vrai que ça ne résout pas tous les problèmes de failles de sécurité notamment, mais c'est le minimum de la sécurité pour ton système ( Gro$oft) Quand à ton rapport hijackthis, rien d'anormal ... dis moi si ton pc fonctionne correctement, après install d'un nouveau pare-feu, et après avoir fait à nouveau les MAJ. Bonne chance

Salut l@urendo, casus, Qc001 Il ne faut pas fixer ces lignes si casus veut continuer à utiliser MsnMessenger. Cela empêcherait le bon fonctionnement du logiciel concerné... mais tu pouvais pas savoir. Pas sûr qu'un simple fix permettra de faire disparaître cette ligne... mais si ça fonctionne, tant mieux. Liée à la technologie bluetooth... mais je ne sais si elle est indispensable pour faire fonctionner un appareil doté de celle-ci. Au fait, laurendo, avant toute optimisation, on vérifie si il n'y a plus de fichier infectieux par un scan en ligne. (comme celui de panda par exemple --> http://www.pandasoftware.fr/Activescan/Activescan.html) Sinon, pour le reste, c'est ok Je te laisse continuer

Re, Cool Le dossier backups correspond aux sauvegardes crées pas Hijackthis, lorsque tu fixe une ligne. Tu peux donc te débarasser du dossier, car elle te ne sera plus utile. Voilà ... Si tu penses que ton problème est maintenant résolu (sans parler de celui d'excel ), édite ton premier post et ajoute au titre du sujet la mention [RESOLU], afin de clôturer le topic

Re norvi, Peux tu essayer avec le tool de noadfear ? : http://noahdfear.geekstogo.com/smitRem.exe - Lance l'extracteur depuis le bureau - Ouvre le dossier Smitrem - Lance Run this.bat - Suis les instructions ([Entrée] à chaque question) - Lorsque l'outil a fini son boulot, redémarre. /!\ le fond d'écran disparaît au prochain reboot Poste un nouveau rapport hijackthis pour vérification (si ça a marché) Bonne chance

Salut CIOCC, Désolé que ton problème ne soit pas résolu... mais en voyant ton dernier rapport, je serais tenté de fixer une ligne... tu vas essayer, sait-on jamais - Déconnecte-toi du net - Lance hijackthis, "do a system scan only", et coche cette ligne: O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe - Ferme toutes les fenêtres à part celle d'hijackthis et fais "fix checked" - Redémarre... et informe moi si il y un changement A+