tornado

Salut x-teri, Est ce que tu as le rapport entier... avec le chemin des fichiers malveillants trouvés ? On pourra les supprimer manuellement ou avec la killbox.

Allez je débute la procédure... Elle parait longue mais elle est relativement rapide à appliquer. Tu n'as qu'à suivre les étapes, une à une. Commence par télécharger le programme suivant: - Easycleaner ---> http://telechargement.zebulon.fr/147-easycleaner.html 1/ Redémarre en mode sans échec ( (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle Antivir via "ajouter/supprimer des programmes" (panneau de configuration) (2 antivirus qui tournent en même temps peuvent provoquer des conflits) 3/ Lance Hijackthis, "do a system scan only", puis coche les lignes suivantes: O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [lich] lich.exe O16 - DPF: {11BD6F81-233F-4B62-BAFB-27ECABD3CBCF} (NTR Activex 1.0.6) - http://www.inquiero.com/inquiero/mod/ntractivex106.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130920415192 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.icon_cool.gif - http://support.sirap.fr/inquiero/mod/setup/ntractivex108.cab - Fais "fix checked" 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 5/ Recherche puis supprime le fichier suivant via l'explorateur de Windows (si il existe encore): - lich.exe --> Ce fichier est normalement situé dans C:\ , C:\Windows ou C:\Windows\system32 --> Tu peux également utiliser l'outil recherche de Windows en vérifiant bien d'avoir coché toutes ces cases dans les options avancées 5/ Nettoie ensuite ton système (fichiers temporaires et registre) avec Easycleaner: -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille 6/ Redémarre en mode normal, fais un nouveau scan Hijackthis, puis poste le rapport correspondant Bonne chance

Salut decybell, Je commence une procédure... sois patient Bon pour les HKEY... ces sont des clés ou valeurs de registre. Spybot a du trouvé des traces de Malware également dans le registre. A+ EDIT : HIjackthis est toujours dans un répertoire temporaire ! Crée par exemple un dossier C:\program files\Hijackthis et déplace dans celui ci Hijackthis.exe

Re, Et avec le scan de trend micro en ligne ? --> http://fr.trendmicro-europe.com/consumer/h...call_launch.php (Il peut fonctionner sous Firefox) Au fait, vu que tu possèdes déjà Ewido, as tu pensé de faire un scan avec (en faisant les mises à jour) ?

Salut decybell, Bon laisse tomber la procédure. Poste donc un tout nouveau rapport hijackthis. On va essayer de nettoyer tout ça Pour la restauration système, on la désactivera au cas où elle est infectée.

Re, Es-tu sûr d'avoir essayé avec Internet Explorer ? (car installation d'un contrôle activex) Bon sinon, fais le scan en ligne de Kaspersky et poste le rapport...

Salut charles, fanche974, Je te propose memtest pour tester ta ram (y'en a pas 50000 ) Pour télécharger l'iso de memtest ( à copier sur une disquette ou à graver sur un cd)---> http://telechargement.zebulon.fr/83-memtest86-32.html Et un petit tuto pour son utilisation --> http://www.depannetonpc.net/article115-utiliser-memtest.html Voilà

Re x-teri, Il reste encore quelque chose... Est ce toi qui a installé ce programme : carasexe ? Si ce n'est pas le cas: - Désinstalle-le via "ajouter/supprimer des programmes" - Supprime le dossier C:\program files\carasexe - Vide la corbeille - Nettoie ton registre avec Jv16 et Easycleaner Sinon, beau travail , le rapport est propre Fais cependant le scan en ligne de panda dans le doute (fonctionne uniquement sous IE) --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php Puis poste le rapport du scan ainsi qu'un nouveau rapport hijackthis A+

Salut giancarlo, Tout d'abord évite de mettre ton email avec la syntaxe "correcte". Car tu risques de recevoir un bon paquet de spams (édite ton message et précise ton adresse email uniquement dans ton profil) Bon sinon, ton rapport est propre... Fais le scan en ligne de panda dans le doute --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php Et poste le rapport du scan. Mais personnellement, je pense plutôt que ton système a des ralentissements et bugs fréquents uniquement à cause de Morton . Edit: mégataupe

Re x-teri, Est ce que tu pourrais faire un scan hijackthis en mode normal, et poster le rapport? Celui que tu viens de poster a été fait en mode sans échec... Car je ne vois plus Antivir sur le rapport... (le mode sans échec ne fontionne qu'avec les processus essentiels, et ne garde pas la protection de l'av en temps réel au démarrage) Tu as bien fait, les entrées rouge sont à supprimer manuellement. (une par une)

Salut x-teri, charles Ton système est infecté comme te l'a déjà dit Charles. On va procéder par étapes pour la désinfection: Télécharge les logiciels suivants au préalable: - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html 1/ Redémarre en mode sans échec 2/ Dans démarrer, "exécuter", tape "services.msc" (sans les guillemets) - Recherche le service Windows Archiver (winarc) - Double clique dessus puis dans "types de démarrage", sélectionne "désactivé - Valide - Répète la manip pour le service : MS Dns Service (WinNet) Puis on va supprimer définitivement les services avec l'invite de commande: - Dans "exécuter", tape cette fois ci "cmd" (sans les guillemets) - Tape la commande présente dans l'espace code: sc delete Windows Archiver - Valide - Refais la même chose avec sc delete MS Dns Service 3/ Lance hijackthis, "do a system scan only", puis coche les lignes suivantes: O4 - HKLM\..\Run: [] IEXPLORE.exe O4 - HKLM\..\RunServices: [] IEXPLORE.exe O4 - HKCU\..\Run: [] IEXPLORE.exe O4 - HKCU\..\RunServices: [] IEXPLORE.exe - Fais " fix checked " 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : - Supprime les fichiers suivants (en gras) C:\WINDOWS\windat.exe C:\WINDOWS\system32\wincntrl.exe Puis recherche manuellement le fichier suivant: - IEXPLORE.exe ---> Ce fichier est normalement présent dans C:\Windows ou C:\Windows\system32 Ne pas confondre avec C:\programfiles\internet explorer\Iexplore.exe qui lui est légitime 5/ Nettoie ensuite ton système avec JV16 Power tools et Easycleaner Pour Easycleaner: -Télécharge Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille Pour Jv16 - Applique ce tuto pour le nettoyage de la base de registre ----> http://www.zebulon.fr/articles/base-de-registre-3.php 6/ Redémarre en mode normal, puis poste un nouveau rapport hijackthis Bonnne chance

Bonsoir fredthenovice, Un petit "salut", ca ne ferait pas de mal Bon sinon, on peut voir sur ton rapport antivir qu'un dossier Incoming (cf Emule) dans lequel se loge tout plein de cracks Il faut que tu saches que l'utilisation de logiciel de p2p est néfaste pour ton système; lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544 Par ailleurs, cela est contraire à la charte du forum. Tu dois savoir que ce n'est pas pour "t'accabler", mais pour éviter toute réinfection future...enfin bref ---------------------------------------------------------------------------------------------------------------------------- Ton rapport hijackthis ne montre pas de signes d'infection Cependant, je te conseille de faire un scan avec Ewido: - Télecharge la version d'essai d'Ewido ---> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine - Colle le rapport d'Ewido dans ton prochain post Remarques - Ton rapport hijackthis est incomplet... il manque le début. Met un nouveau rapport hijackthis complet dans ton prochain post - Tu es dépourvu de pare-feu . Celui d'xp (sûrement celui que tu utilises) ne filtre pas en sortie. Cela signifie que si un malware s'est introduit sur ton pc, il peut se connecter via le net sans problèmes. Je te recommande donc d'installer un vrai pare-feu. Il en existe 3 gratuits et efficaces... tu peux retrouver leurs liens de téléchargement ainsi que leurs tutos sur cette page A+

Salut Nanou, bruce lee , Je te propose de scanner ton pc avec un antivirus assez performant en mode sans échec: eScan Antivirus Toolkit. Suis les instructions suivantes: Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Re, C'est bien, smitfraudfix a fait son boulot. Maintenant, tu peux appliquer la procédure de pré-nettoyage d'un pc infecté : http://forum.zebulon.fr/index.php?showtopic=83986. A+

Salut riquet09, Horus Agressor, Bien dit Horus La crasse en question s'appelle New.net ou Newdotnet. Mais ce n'est pas la seule... Après avoir pris connaissance des risques et dangers du p2p et désinstallé emule, applique la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986 Un log hijackthis à la fois... Il faut déjà s'occuper de celui ci.

Re deybell, Maintenant il faut supprimer les fichiers détectés lors de l'étape 1 : - Redémarre l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage). - Double clique sur smitfraudfix.cmd - Sélectionne 2 pour supprimer les fichiers responsables de l'infection. - Poste le nouveau rapport de smitfraudfix Puis applique la procédure suivante : http://forum.zebulon.fr/index.php?showtopic=83986 PS: pour ta question sur l'antivirus, on en parlera une fois que ton système sera propre

Salut, Pestrap est faux anti-spyware, c'est une des variantes de Smitfraud. Il va falloir passer un coup de Smitfraudfix: -Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip -Dézippe la totalité de l'archive smitfraudfix.zip sur le bureau -Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport et rechercher les fichiers responsables de l'infection. Puis poste le rapport. PS: Pour Norton, c'est normal. Les antivirus ont tendance à détecter la présence d'un malware pendant l'infection mais ne parviennent pas à le supprimer (cf utlisation d'un processus etc). Les fichiers malveillants déjouent la protection de l'antivirus. Par ailleurs la protection en temps réel de Norton (et tout l'av d'ailleurs)est peu aimé sur le forum, car elle utilise énormément de ressources et est peu efficace. Edit: Guronsan, et merci d'être intervenu. Ca sera utile pour la suite...

Salut gof, Pas bien la clope Le chemin Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ corrrespond à la liste des sites sur lesquels le navigateur à créé des restrictions, pour éviter que tu les visites. Normalement, quand tu vas dans IE ---> outils --> options internet ---> onglet sécurité ; tu cliques sur "sites sensibles" (panneau d'interdiction) et ensuite sur le bouton "sites...", tu peux remarquer qu'il y a toute une liste de sites qui correspond à celle des clés. Bon sinon pour toutes ces lignes : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\DefaultIcon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\HelpText] En faisant une recherche, elles corresppondent aux options de recherche du menu démarrer ---> http://www.maboite.qc.ca/astuces-fiches.php Donc ne touche pas à toutes ces clés... elles n'ont rien avoir avec un reste d'adware. LOL , ca va te mener aux mêmes clés qu'avec Regsearch, et qui sont en plus légitimes... Personellement je pense que la ou les fameuse(s) clé(s) qu'on recherche ne sont pas un risque de sécurité, mais seulement la ou les clé(s) caduque(s) d'un adware. Et de plus, uniquement Panda fait mention de ces traces dans le registre... Au fait as tu essayé avec un antispyware classique genre ad-aware ou spybot (eux, au moins, indiqueront le chemin de la clé) Salut Lokokiss Très bonne idée le scan de Trendmicro , en ajoutant le scan d'ad-aware, peut-être qu'ils vont trouver quelque chose...

Salut, je viens d'éditer mon message, car j'avais pas fait attention que la clé trouvée par regsearch était identique à celle trouvée par Jv16. Qu'entend tu par "curieux noms" ? . C'est qu'il ya des milliers de clés de registre, on va pas s'en sortir. Montre quand même, on sait jamais ...

Re gof, Apparemment tu peux travailler tout seul C'est exactement ça. Après avoir supprimé les clés correspondants à Mywebsearch, vérifie bien qu'elles ont été - Dans "exécuter", tape "regedit" (sans les guillemets) - Puis parcours le registre en suivant le chemin des clés incriminées [HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net - Fais un clic droit sur celle-ci puis "supprimer" (si elles existent encore) - Redémarre en mode normal, fais le scan de panda et poste le rapport Je doute que le résultat de panda diffère des précédents. Si il avait trouvé des clés en rapport avec Mywebsearch, il l'aurait indiqué. Enfin on va bien voir ... A+

Salut Gof, Bon coup d'oeil Gof ! Mywebsearch, une barre de recherche qui s'installe sans ton avis dans le navigateur --> spyware C'est bizarre que le rapport hijackthis ne montrait pas sa présence... mais rien de bien méchant. -Désinstalle le programme suivant via "ajouter/supprimer des programmes": Mywebsearch -Supprime le dossier C:\program files\My web search -Nettoie ton registre avec Easycleaner, Jv16 et Regseeker successivement Redémarre puis poste un nouveau rapport hijackthis ...

Salut lyd91, QC001 Pour Emule ou plutôt Echanblard, désinstalle le bien via "ajouter/supprimer des programmes". Puis vide le dossier C:\ Program Files\Echanblard Nettoie ensuite ton registre avec JV16 powertools selon ce tuto Juste une remarque Lyd91. On peut voir sur ton rapport que 2 antivirus fonctionnent en même temps sur ton pc. Mais cela génère des conflits et empêche la protection correcte de ton système... Je te recommanderais bien de désinstaller Norton mais tu as sûrement payé la licence (quel gachis ! ) et de plus, cet antivirus est assez difficile à désinstaller. Désintalle donc Antivir pour l'instant. Quand ta licence aura expiré, applique cette procédure --> Désinstaller Norton proprement Voilà

Salut Zaz, Peut-être un conflit de codecs, de filtres... ? - Désinstalle ton pack de codecs via "ajouter/supprimer des programmes " - Télécharge Codec Sniper ---> http://telechargement.zebulon.fr/92-Codec-Sniper.html - Et applique cette astuce ---> http://www.zebulon.fr/astuces/astuce-windows-133.html Voilà... bonne chance

Re dingdong , Pour le scan de Kaspersky, tu es obligé d'utiliser IE car tu dois installer un contrôles activex. Donc pas d'histoire de scripts. IE est nécessaire pour certains sites (banques etc) et surtout pour les màj de windows. Donc pas de soucis. A+

Salut Zarbi, Stonangel, Ca va être un peu compliqué sans la connexion... Je me demande si le fix que tu as utilisé tout à l'heure peut fonctionner avec Zarbi. C'est justement après la suppression de fichiers malveillants qu'elle a perdu sa connexion... Bon on va essayer Zarbi : Télécharge Winsockfix d'O^E ---> http://www.tacktech.com/pub/winsockfix/WinsockFix.zip Dézippe le sur le bureau et exécute le. Redémarre et dis ce qu'il en est. ------------------------------------------------------------------------------------------------ Arf j'allais oublié. Toutes mes félicitations pour cet heureux évenement Salut Oscar :P