tornado

Re, A propos du scan de silenrunner, j'ai un doute sur un fichier : Et après quelques recherches, les infos sur ce fichier se contredisent. J'aimerais donc que tu fasses analyser le fichier suivant C:\WINDOWS\system32\shmgrate.exe ... par l'intermédiaire de ces 2 sites : => http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne C:\WINDOWS\system32\shmgrate.exe, clique sur Ouvrir, puis sur Submit ) => http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne C:\WINDOWS\system32\shmgrate.exe, clique sur Ouvrir, puis sur Send ) Il se peut qu'un message t'avertit que le sevrur est trop occupé. Dans ce cas, retente le coup une seconde fois. Pour chaque site d'analyse, tu obtiens un rapport ... copie/colle les dans ta prochaine réponse ________________________________________________________ Bon sinon, si Spysweeper ne veut toujours pas fonctionner, essaie ce scan anti-spyware : - Rend toi sur cette page (avec IE) => http://www.trendmicro.com/spyware-scan/ - Clique sur "Scan & Clean your pc" - Installe le controle Activex comme indiqué - Choisis "Start Scan" - Une fois le scan terminé, fais une capture d'écran des résultats du scan et clique sur "Clean threat items" ________________________________________________________ A+ et bonne chance

Re, Oui, ça suffit largement. Comme je l'ai déjà dit, il faut juste une seule protection résidente pour le registre, sinon, risque de conflit (un peu le même principe que pour les antivirus). _______________________________________________________________ Concernant l'optimisation (afin de démarrer plus vite notamment), tu peux faire ceci : 1/ Suppression des lignes inutiles dans Hijackthis : Lance Hijackthis, do a system scan only et coche les lignes suivantes: a) Si tu n'utilise plus Internet Explorer ou très peu, coche et fixe ces lignes (do a system scan only > coche les lignes > Fix checked) : b) Les ligne suivantes correspondent aux drivers de ta souris + ton clavier sans fil. Ton matériel devrait quand même fonctionner, même après les avoir fixer (et redémarrer. c) Drivers de ta carte son et de ta carte graphique, pas nécessaires au démarrage pour les faire fonctionner. d) Logiciel pour configurer les options de ton imprimante au démarrage, inutile : e) Lignes encore plus inutiles que les précédentes (si tu veux des précisions, demande-le moi) : f) Logiciel au démarrage dont je ne connais l'utilité (tu dois savoir ?). Si tu veux le garder au démarrage, ne fixe pas la ligne : _________________________________________________________________ Tu peux fixer toutes les ligne que j'ai indiquées. De toute façon, si il y a quelque chose qui ne te convient pas, tu pourras toujours revenir en arrière (Hijackthis intègre une fonction de sauvegarde) 2/ Désactivation des services inutiles : Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: InstallDriver Table Manager Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Fais la même chose pour les services suivants : - NVIDIA Display Driver Service - SoundMAX Agent Service - LexBce Server (sauf si utilises cette fonction pour ton imprimante => http://www.generation-nt.com/processus/lex...exbces-exe/295/ ) 3/ Redémarre et poste un nouveau rapport Hijackthis ======================================================= Quand tu auras un peu de temps devant toi, tu pourras également configurer les services de Windows, non seulement dans un souci d'optimisation, mais surtout pour ta sécurité => http://speedweb1.free.fr/frames2.php?page=service4 A +

Re, Bon ... tu peux le garder pour l'instant. Mais je te ferais installer un pare-feu digne de ce nom quand on aura terminé la désinfection. Lâche pas l'affaire, on est là pour t'aider C'est une combine courante des malwares, de désactiver le gestionnaire de tâches. si après la désinfection, les droits n'ont pas changés, on le fera manuellement, en passant directement par regedit. Là, peut-être que Shaldrin a raison ... faut-voir ce que ça donne après que le système soit entièrement propre. Tu sais, tu peux prendre ton temps . Les "séquelles" disparaissent en général avec l'éradications des malwares incriminés ... Pour le chkdsk, je le ferais utiliser qu'en dernier recours ... ça prend du temps, et ça ne fonctionne pas tout le temps A+ et bon courage

Re, Le rapport Kaspersky n'indique rien d'infectieux sur ton système Sinon, j'aurais aimé savoir si tu rencontres toujours des disfonctionnements ? Si ce n'est plus le cas , on peut considérer ton système comme propre. On va donc à présent rétablir certains paramètres sur ton système par : La rétablissement de l'affichage des fichiers/dossiers La suppression de certains outils utilisés au cours de la procédure de désinfection La suppression des points de restauration ======================================================== Etape 1 : Rétablissement de l'affichage des fichiers/dossiers Durant la procédure de désinfection, je t'avais fait afficher les fichiers cachés et les fichiers système, pour pouvoir supprimer les fichiers infectieux s'ayant emparé de ces statuts. A présent, il vaut mieux recacher ces fichiers (notamment les fichiers système) pour éviter d'en supprimer un par erreur (par exemple, certains fichiers système sont nécessaires pour faire démarrer Windows) : NB: J'ai volontairement "oublié" la case "Masquer les extensions des fichiers dont le type est connu" car ça peut aider quand on veut savoir l'extension d'un fichier (Ce fichier vidéo est du type .mpg ou .avi ? Tu vois ce que je veux dire ) Etape 2 : Suppression de certains outils de la procédure De plus , je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection : Chercher.cmd => Ne t'est plus utile à présent { supprimer les fichiers chercher.zip et chercher.cmd} Smitfraudfix => même si ce n'est pas moi qui te l'ait fait télécharger, je te recommande de le supprimer car cet outil est dédié principalement aux infections qui modifient le bureau, ce qui n'est pas ton cas { supprime le dossier Smitfraudfix et le fichier Smitfraudfix.zip } Les pages Web => ne te sont plus utiles à présents { supprimer le dossier dans lequel tu as mis les pages web (ex : C:\procédure) } Blacklight=> peut parfois détecter des fichiers légitimes, et ne doit pas être utilisé sans l'avis d'un "spécialiste" { supprimer blbeta.exe du bureau } Tu peux à présent les supprimer, car ils ne te seront plus utiles, ou car leur utilisation est délicate (et vide la corbeille) Etape 3 : Suppression des points de restauration Pour terminer, tu vas supprimer tous les points de restauration (certains ont été sûrement touchés par les infections), de la manière suivante : - Désactive la restauration système en suivant le tutoriel suivant => http://www.libellules.ch/desactiver_restauration.php (tout ce qui précède "Pour activer la restauration du système de Windows XP"): - Une fois le pc redémarré, réactive-la (toute la partie Pour activer la restauration du système de Windows XP) car la restauration système s'avère vraiment utile quand on a un problème auquel on ne trouve pas d'autre solution. ==================================================================== J'attend que tu ais fait ceci, avant que l'on peeaufine un peu la sécruité de ton pc, afin de le garder propre Bonne chance

Re, Beau boulot revestor Ton nouveau rapport Hijackthis est propre Et Ewido n'a trouvé que des cookies (beaucoup d'ailleurs... alors que j'e t'ai fait passer ATF-cleaner auparavant, tu as sûrement oublié d'utiliser l'onglet Firefox ). Pour vérifier que rien d'autre n'est présent sur ton système, tu vas faire ces 2 scans : =============================================================== * Scan Av en ligne : Panda Activescan - Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Réactive le bouclier Web d'avast - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) NB : Si le téléchargement de l'activex pose un problème, vérifie qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+

Salut c.junior et bienvenue sur le forum sécurité de zébulon, Comme Shaldrin semble avoir lâché l'affaire, je vais essayer de t'aider à poursuivre la désinfection (à la commencer plutôt). En effet, d'après les symptômes que tu indiques + ton rapport Hijackthis, on peut déduire que ton système est infecté. On va tout reprendre à zero si tu veux bien... Avant toute chose, installe un pare-feu pour remplacer ZA. Prend bien ton temps pour le configurer correctement, sinon, il ne servira à rien . Je te propose 2 pare-feu gratuits et efficaces : => Kerio - Téléchargement : http://www.sunbelt-software.com/Kerio-Download.cfm - Tutoriel : http://www.malekal.com/kerio_firewall.html (merci à Malekal_Morte) => Outpost free - Téléchargement : http://www.agnitum.com/products/outpostfree/download.php (remplis le formulaire pour recevoir le lien de téléchargement par mail. C'est gratuit, ne t'inquiète pas) - Tutoriel de E.Durup. : http://etienne.durup.free.fr/securite/outpost/OPconf.htm - Tutoriel de Malekal_Morte : http://www.malekal.com/tutorial_outpost.html Un redémarrage sera nécessaire pour le firewall choisi. _______________________________________________________________________ Après installation du firewall, applique la procédure préliminaire suivante : J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!) Phase 2 Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=> Comment démarrer l'ordinateur en mode sans échec A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur. Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=> -Active la case : "Afficher les fichiers et dossiers cachés" -Désactive la case : "Masquer les extensions des fichiers dont le type est connu" -Désactive la case : "Masquer les fichiers protégés du système d'exploitation" -Puis clique sur "Appliquer". Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide. Cette fonction cleanmgr génére parfois un bug sous système Windows 2000. Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers : -C:\TEMP -C:\WINDOWS\TEMP -C:\Documents And Settings\Session utilisateur\Local Settings\Temp -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vider la corbeille Recherche et élimination des parasites avec Antivir=> lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent) Sauvegarde le rapport! Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE Puis, désinstalle Antivir dans ajout/suppression de programmes. Redémarre le PC en mode normal Installation et utilisation d'HijackThis=> Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis". Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Arrête tous les programmes en cours et ferme toutes les fenêtres Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran. Phase 4 Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir. Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci : Exécute Hijackthis : Clique sur "Open the misc tools sections" Clique sur "Open uninstall Manager" Clique sur "Save list" Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post. [auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso] Bon courage

Re, Bon... je sèche . Ce n'est pas un problème d'infection ... je te recommande donc de poster dans la section Optimisation, Sécurisation, Prévention => http://forum.zebulon.fr/index.php?showforum=52 Je ne te laisse pas tomber ... je préfère juste que tu te fasses aider par des personnes plus compétentes Tiens moi au courant A+

Re Tu remarques que l'adresse de l'attaque résau est identique à celle utilisée par un processus Windows. Cela signifie qu'il y a toujours un malware qui "ouvre une porte sur ton pc" (les ports plutôt). D'autant plus que tu dis que Le port 135 y figure, je te recommande le fermer avec zebprotect. C'est celui qui reste parmi tous ceux que tu avais déjà fermé (tu ne pouvais pas le fermer car il fallait fermer tous les autres dans un premier temps). Si tu as des doutes, suis les instructions indiquées sur la capture : Pour l'instant, ça ne sert à rien, le pc étant probablement encore infecté ... _________________________________________________________________ Après avoir fermé le port 135 avec Zebprotect, fais ceci je te prie : ============================================= Scan Silentrunners - Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip - Déconnecte-toi du net et ferme toutes les applications en cours - Lance le fichier .vbs - Une fenêtre s'affiche, clique sur yes - Le scan est alors démarré, patiente quelques secondes - Un message t'informe de la fin du scan - Un fichier .txt est alors créé dans le même dossier que silentrunners - Copie l'intégralité de son contenu, puis poste-le Scan Spysweeper Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Oui. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Options d'analyse. Sous A analyser, coche les options suivantes: Analyser la mémoire Analyser le Registre Analyser les cookies Analyser tous les comptes utilisateurs Activer l'analyse directe du disque Analyser le contenu des fichiers compressés Analyse à la recherche de rootkits DÉCOCHE Ne pas analyser les dossiers de restauration du système (uniquement pour Windows Me et XP). [*]Clic Analyser sur la gauche. [*]Clic sur Démarrer. [*]Quand le scan est terminé, clic sur Suivant. [*]Assure-toi que tous les items sont cochés, puis clic sur Suivant. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Journal de session au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Récapitulatif, puis clic sur Terminer. [*]Colle le contenu du "Journal de session" dans ta prochaine réponse. ====================================================== En tout, 2 rapports que tu dois poster. Ajoute-y un nouveau scan des ports avec le test de sécurité de zébulon A+ et bonne chance

Re, Beau boulot L'infection a apparemment disparu d'après le rapport de Blacklight Tu lances Internet Explorer. Ensuite va dans Outils > Options Internet > onglet Sécurité. Clique alors sur le bouton "Personnaliser le niveau". Ensuite, dans le champ "Rétablir", ouvre la liste déroulante et choisis "Moyen". Puis clique sur Rétablir, et clique sur OK: _______________________________________________________ Sinon, constates-tu toujours des disfonctionnements ? Bon, sinon, essaie le scan en ligne de Kaspersky : - Pour cela, rend toi sur cette page => http://webscanner.kaspersky.fr/ - Et clique sur l'image suivante pour lancer l'outil : - A la fin du scan, n'oublie pas de sauvegarder le rapport (que tu devras copier/coller dans ta prochaine réponse) - Pour utiliser ce scan en ligne, tu peux suivre ces instructions => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte) A+

Re, Les différents rapports n'indiquent rien d'infectieux (à part un cookie, qui réapparait au cours de ta navigation) Qu'en est-il de tes disfonctionnements ? (alertes de Kaspersky) Sinon, pourrais-tu refaire le test de sécurité de zébulon et m'indiquer son résultat? (et me faire un copier/coller du rapport si il y a encore des problèmes) A+

Re, Bizarre ... Hijackthis ne montre toujorus pas la présence du fichier... Tu vas donc directement appliquer cette procédure : procédure à enregistrer au préalable en tant que page web, comme précédemment ========================================================== Etape 1 : Téléchargement de l'outil nécessaire à la suppression du fichier Télécharge la dernière version de Killbox d' Option^Explicit -> http://www.downloads.subratam.org/KillBox.zip Dézippe le programme dans le répertoire qui te plaît (pas d'installation Windows) Etape 2 : Préparation du fichier removetrj.reg - Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=> Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rpcc"=- "rpcc.exe"=- - Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> - Choisis "Enregistrer sous" et choisis "Bureau". - Dans le champ "Nom du fichier" en bas de page donne le nom suivant : removetrj.reg - Dans le champ "Type" en bas de page, choisis: tous les fichiers - Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" - Quitter le Bloc Notes. - Le fichier que tu viens de créer doit ressembler à ça => - Ne touche pas au fichier removetrj.reg pour l'instant ! Etape 3 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Exécution du fichier removetrj.reg - Depuis le bureau, double-clique sur le fichier removetrj.reg crée, répond oui à la question "Voulez vous ajouter..." - Un message t'avertit normalement du succès de l'opération Etape 4 : Utilisation de Pocket Killbox - Lance Pocket Killbox en double cliquant sur Killbox.exe --- choisis l'option Delete on Reboot --- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" : C:\WINDOWS\system32\rpcc.exe --- clique sur la croix blanche sur fond rouge (Delete File) : - "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même. Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm Etape 5 : Nouveau rapport Blacklight Une fois le pc redémarré, scanne à nouveau ton pc avec Blacklight : Double-clique sur blbeta.exe et accepte la licence ; clique sur Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+

Re, Ok... on va pouvoir enfin sécuriser un peu plus ton pc pour que tu conserves un système propre. Voilà comment va s'organiser la sécurisation de ton système : Pour commencer, on va ajouter certains outils sur ton système, pour améliorer davantage ta sécurité (I - Discours de prévention / trousse à outils) Pour finir, je vais résumer le tout, sous la forme de conseils, pour que tu parviennes à utiliser tous ces outils (II - Guide de sécurité / utilisation de ces outils ) ================================================================== Maintenant que tu as mis en place les protections minimales, on va pouvoir ajouter certains conseils/outils, qui ne sont presque indispensable à l'heure actuelles, les infections étant plus nombreuses et variées : 1) Adopter une navigation sécurisée => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE ! : => IE-SPYAD d' : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux). Pour Internet Explorer uniquement ! - Téléchargement : http://www.spywarewarrior.com/uiuc/res/ie-spyad.exe - Instructions : Une fois l'utilitaire dézippé dans son dossier (C:\ie-spyad), cliquer sur le fichier ie-ads.reg. Les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm J'insiste sur le fait que Firefox est bien plus sécurisé qu'IE (n'intègre pas les activex, souvant porteurs d'infection etc...), même si tu as utilisé IE-SpyAd. Il faut savoir également que IE reste nécessaire pour certains sites : les scans antivirus en lignes, les sites de banques... 2) Protéger le système d'éventuelles infections ¤ Fermer les ports critiques => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : -- http://www.firewall-france.com/test.php -- http://www.zebulon.fr/outils/scanports/test-securite.php ¤ Protéger la base de registre (un utilitaire parmi ces 3 suffit, sinon, il peuvent entrer en conflit. A toi de voir celui qui te convient le mieux) => Winpooch Antispyware : permet de surveiller l'activité des différents programmes, de surveiller la base de registre, de créer des "règles d'accès". : - Site officiel / Téléchargement : http://winpooch.free.fr/page/home.php?lang=fr&page=home - Tutoriel : http://forum.zebulon.fr/index.php?showtopi...amp;hl=Winpooch (merci à Jack Burton) => SpywareBlaster (pour protéger la base de registre) : - Téléchargement : http://www.javacoolsoftware.com/downloads.html - Tutoriel : http://www.ordi-netfr.org/tutorialspywareblaster.php => Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre : - Téléchargement : http://www.diamondcs.com.au/index.php?page=regprot - Tutoriel : http://benoit.aun.free.fr/securite-facile-php/regprot.php (merci à Odsen) ¤ Adopter un client mail sécurisé, pour éviter de recevoir du courrier indésirable => Un client de messagerie sécurisé, pour éviter de recevoir du courrier indésirable (spam), et remplacer Outlook Express, pas suffisamment performant au niveau du filtrage mail. Je te le fais remarquer car les malwares peuvent aussi se répandre par mail, par l'intermédiaire de pièces jointes infectieuses par exemple. Il en existe une multitude dont Sylpheed et Thunderbird. Voir ce lien pour les caractéristiques + le téléchargement => http://benoit.aun.free.fr/securite-facile-php/crosoft.php ¤ Bloquer l'accès à certains sites => Le fichier Hosts : c'est un outil déjà fourni avec Windows, qui s'avère pratique et simple d'utilisation. Il permet en effet de bloquer l'accès à certains sites (ceux que tu as ajoutés dans le fichier), et devient un vrai plus pour ta sécurité, lorsque tu bloques l'accès aux sites malveillants. Explications : http://benoit.aun.free.fr/securite-facile-php/hosts.php (merci à Odsen ! ) 3) Scanner régulièrement le système (de façon hebdomadaire) => Ad-Aware SE de Lavasoft - Téléchargement : http://www.lavasoftusa.com/french/software/adaware/ - Tutoriels : -- http://home.tiscali.be/schouppeguy/adawarese/adawase.htm -- http://tutopat.hostonet.org/viewtopic.php?t=207 -- http://www.ordi-netfr.com/adawarese.html -- http://www.lavasoft.de/support/download/#free => SpyBot-Search & Destroy de Patrick Kolla - Téléchargement : http://spybot.safer-networking.de/fr/download/index.html - Tutoriel : http://assiste.free.fr/p/logitheque/spybot...rch_destroy.php => Ewido anti-spyware : C'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente), mais il reste efficace ! Mets le à jour avant de scanner ton PC. - Téléchargement : http://www.ewido.net/en/download/ - Tutoriel : http://www.malekal.com/tutorial_ewidoV4.html => Les différents scans antivirus en ligne Parfois utiles pour détecter les éventuelles infections que ne détecte pas de l'antivirus résident : --> Kaspersky Lab OnLine Scanner --> Panda Activescan --> Trend Micro HouseCall --> un tutoriel sur 2 scans en lignes : http://www.malekal.com/scan_Av_en_ligne.html (merci à Malekal_morte ) 4) Nettoyer régulièrement le système (au minimum de façon hebdomadaire, ne serait-ce que pour libérer l'espace disque) : => Clean Up 40 de Steven Gould : - Téléchargement : http://www.stevengould.org/software/cleanup/ - Tutoriel en image : (merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm => EasyCleaner de Toni Helenius (installe le dans son dossier) Je te recommande d'utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose. - Téléchargement : http://personal.inet.fi/business/toniarts/ecleane.htm - Tutoriels : -- http://www.uptoopc.net/nettoyer/temporaires.php -- http://www.uptoopc.net/nettoyer/registre.php -- http://www.uptoopc.net/nettoyer/autresfonctions.php => ATF-cleaner par Atribune : C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton navigateur alternatif. - Téléchargement : http://www.atribune.org/public-beta/ATF-Cleaner.exe - Mode d'emploi : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. => RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks"). Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://www.hoverdesk.net/freeware.htm - Tutorial : http://www.zebulon.fr/articles/regseeker-1.php => JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner. A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant. Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php 5) Réagir au niveau de la lutte anti-malware - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : Donc si tu as un peu de temps, Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection : - Voir les règles de Malware-Complaints - Enregistre sur le forum à partir du bouton register en haut : Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4 Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10 Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001. ________________________________________________________________________________ Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection... Tu peux donc tous les garder, en les utilisant régulièrement. Pour préserver un pc propre, l'entretenir, tu peux suivre ces conseils (qui correspondent en fait à une synthèse du discours de prévention et de la mise en place des proctections minimales) : Avoir une attitude prudente sur le pc : Tout d'abord,sur le net en évitant les messages publicitaires "alléchant" par exemple En évitant les logiciels de p2p, les cracks, les sites XXX car susceptibles d'apporter des infections : => Le crack dans toute sa splendeur => Le p2p et ses conséquences En faisant attention aux mails reçus. Par exemple, ne pas ouvrir un mail dont l'expéditeur est inconnu (surtout si il contient une pièce jointe), dont l'expéditeur est Microsoft etc ...(Microsoft n'envoie jamais de mails) [*] Mettre à jour Windows régulièrement via Windows update [*] Adopter une navigation sécurisée, avec des navigateurs alternatifs sécurisés comme Firefox [*] Protéger le système / prévenir les infections : Avec un pare-feu (en l'occurrence Kerio) bien paramétré et à jour Les ports critiques du système masqués (utilisation de Zebprotect) La base de registre protégée (Spyware blaster ou Regprot ou Winpooch ) Un client Mail sécurisé (Thunderbird, Sylpheed etc) Un accès bloqué aux sites indésirables ( Fichier Hosts ) [*] Scanner régulièrement le système avec : Ton antivirus bien paramétré et à jour (màj automatiques) Les antispywares/antitrojans fournis : Ad-aware, Spybot, Ewido (tous à jour) Avec différents scans en lignes (Panda Activescan etc) [*] Nettoyer ton système régulièrement : Les fichiers/dossiers temporaires (Clean up, Easycleaner, ATF-cleaner) Le registre (Jv16 Powertools, Regseeker) (utiliser plusieurs outils de nettoyage, car complémentaires) [*]Réagir au niveau de la lutte Anti-malware (Malware complaints). C'est très important, car cela permet de condamner les auteurs de malwares, et de participer à leur lutte =========================================================== Toutes les protections que tu vas mettre en place ne vont évidemment pas remplacer ton comportement sur le pc ... c'est bien plus important que tous ces utilitaires, car ils ne servent à rien, si, d'un autre côté, tu te mets à naviguer sur des sites peu recommandables ; un clic au mauvais endroit peut suffire... reste donc vigilant(e) sur le net. C'est d'ailleurs pour cela que j'ai mis le conseil Avoir une attitude prudente sur le pc en premier. Profites-en pour sensibiliser ton entourage à propos de la sécurité sur un pc , et les éventuels autres utilisateurs du pc, pour ne pas avoir de mauvaises surprises J'espère que tu es parvenu(e) à mettre en place cette partie sécurisation. A présent, tu peux être plus serein(e) avec l'utilisation de ton pc, et en profiter pleinement. Si tu as des questions, n'hésite pas Je te laisse lire tout ça... avant qu'on passe à l'optimisation du rapport si tu es d'accord. A+

Re, Effectivement, Antivir à supprimé un fichier ayant l'air indésirable... En effet, le dossier dans lequel il est situé ... : ... n'est pas censé existé. Est-ce toi qui l'a créé ? Si ce n'est pas le cas, supprime-le et vide la corbeille ___________________________________________________________ Bon ... sinon, il manque une partie du log Hijackthis. Et je vois que tu n'as pas renommé Hijackthis.exe en lorenzo84.exe (certains malwares peuvent reconnaître la présence d'Hijackthis, et dissimulé sa leurs propres présences quand un log est généré), ni créé de répertoire dédié pour Hijackthis. Réapplique donc la partie de la procédure suivante, afin de génrére un nouveau log : ____________________________________________________________________ Ajoute à ce nouveau rapport, ceux des 2 scans suivants : * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le nouveau rapport Hijackthis - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+ et bonne chance

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/ -- Pour commencer, installe Ewido en suivant les instructions données par le logiciel -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) - Starter de la compagnie Codestuff => http://telechargement.zebulon.fr/185-starter.html (Dézippe le fichier téléchargé, lance StarterSetup.exe. Laisse les options par défaut, et choisis French à "Choose Interface language") Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\RunServices: [Win32] msnsrv.exe O4 - HKCU\..\Run: [Win32] msnsrv.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm - Clique sur le bouton "Fix checked" Etape 4 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 5 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Supprime les fichiers suivants, si ils existent encore (en gras) : - C:\WINDOWS\system32\msnsrv.exe - C:\WINDOWS\system32\WinSys.exe - C:\WINDOWS\web\related.htm => Vide la corbeille Etape 6 : Utilisation de Starter Lance Starter depuis le raccourci sur le bureau Dans le panneau section de gauche : Rend toi d'abord dans Registre --> Utilisateur courant --> Run Dans le panneau de droite, fais un clic droit sur le fichier msnsrv.exe, et choisis Supprimer [*] Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à msnsrv.exe . [*]Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours msnsrv.exe ) [*] Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier msnsrv.exe NB: Il se peut que tu ne trouves pas msnsrv.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification. Etape 7 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 8 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 9 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté : Etape 10 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 11 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Re, Bon, laisse tomber Panda pour l'instant, il y un autre problème à régler apparemment ... En effet, je n'avais pas vu que tu avais posté un rapport Blacklight, qui montre encore une infection... : J'aimerais que tu fasses ceci, pour repérer l'infection : - Commence par faire un "clic droit > Couper" sur le fichier suivant : En effet, il vaut mieux déplacer Hijackthis vers un répertoire dédié, afin de ne pas perdre les sauvegardes. - Ensuite, crée un dossier au nom d'Hijackthis dans C:\Program Files - Dans ce nouveau dossier ( C:\Program Files\Hijackthis ), fais un clic droit > coller - Puis renomme Hijackthis.exe en Monies.exe - Enfin, double-clique sur Monies.exe , clique sur "do a system scan and save a logfile" et copie/colle le rapport qui apparaît à l'écran dans ta prochaine réponse. A+

Re, LOL ... tu dis ça comme si c'était un crime. Tu sais, c'est pas bien grave, du moment que tu nettoies régulièrement les fichiers/dossier temporaires (les cookies en font partie) Pour Ewido, oui tu peux le garder pour faire les scans. La protection résidente disparaît au bout de 15 jours (ainsi que les mises à jour auto) mais tu peux toujours utiliser le logiciel pour scanner ton système, à condition de mettre à jour le logiciel manuellement, avant chaque scan. Oui ... ça tombe bien. Tcpview de Sysinternals le fait : - Télécharge-le à partir de cette page => http://www.sysinternals.com/Utilities/TcpView.html (en bas de page, clique sur Download TCPView and TCPVCon (81 KB) ). Dézippe-le là où ça te convient. - Le tutoriel du forum Pc-entraide => TCPView, surveiller sa connexion Oui, mais pas tout de suite... il reste encore quelques manips à faire (c'est "vite fait", ne t'inquiète pas) : Etant donné que tu ne constates plus aucun disfonctionnement, on peut considérer ton système comme propre. On va donc à présent rétablir certains paramètres sur ton système par : La rétablissement de l'affichage des fichiers/dossiers La suppression de certains outils utilisés au cours de la procédure de désinfection La suppression des points de restauration ======================================================== Etape 1 : Rétablissement de l'affichage des fichiers/dossiers Durant la procédure de désinfection, je t'avais fait afficher les fichiers cachés et les fichiers système, pour pouvoir supprimer les fichiers infectieux s'ayant emparé de ces statuts. A présent, il vaut mieux recacher ces fichiers (notamment les fichiers système) pour éviter d'en supprimer un par erreur (par exemple, certains fichiers système sont nécessaires pour faire démarrer Windows) : Etape 2 : Suppression de certains outils de la procédure De plus , je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection : Les pages Web => ne te sont plus utiles à présents { supprimer le dossier dans lequel tu as mis les pages web (ex : C:\procédure) } FixWareout => tu n'en as plus besoin, et ne doit pas être utilisé sans l'avis d'un "spécialiste" { supprimer le dossier C:\FixWareout } Blacklight=> peut parfois détecter des fichiers légitimes, et ne doit pas être utilisé sans l'avis d'un "spécialiste" { supprimer blbeta.exe du bureau } Tu peux à présent les supprimer, car ils ne te seront plus utiles, ou car leur utilisation est délicate (et vide la corbeille) Etape 3 : Suppression des points de restauration Pour terminer, tu vas - par précaution - supprimer tous les points de restauration (certains ont peut-être été touchés par les infections), de la manière suivante : - Désactive la restauration système en suivant le tutoriel suivant=> http://www.libellules.ch/desactiver_restauration.php (tout ce qui précède "Pour activer la restauration du système de Windows XP"): - Une fois le pc redémarré, réactive-la (toute la partie Pour activer la restauration du système de Windows XP) car la restauration système peut parfois s'avérer utile ==================================================================== J'attend que tu ais fait ceci, avant que l'on peaufine un peu la sécurité du pc (conseils pour préserver un système propre), et qu'on optimise ton rapport Hijackthis (comme promis) Bonne chance EDIT : pour panda, désinstalle-le via "ajouter/supprimer des programmes" ("Panda activescan")

Re, Le nouveau rapport Hijackthis est propre... beau boulot Et si Ewido n'a rien trouvé, tant mieux... cela signifie que tu avais déjà en grande partie désinfecté le système (à part pour Wareout). On va à présent vérifier si il reste des traces de malwares sur ton système, par le biais d'un scan antivirus en ligne : ===================================================== * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Réactive le bouclier Web d'avast - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_Morte) ======================================================== Pense à faire un copier/coller du rapport dans ta prochaine réponse. A+ PS: As-tu encore des disfonctionnements ?

Bonsoir kini1, Le rapport Hijackthis ne montre rien d'infectieux, le scan d'Antivir non plus. Ton problème avec Kaspersky n'est sans doute pas d'origine infectieuse. Etant donné que les paramètre d'IE ont l'air d'être bon (l'activex de Panda est installé), je pencherais plutôt vers un conflit avec ton antivirus F-secure. Essaye de désactiver sa protection résidente avant et pendant le scan ... (tu risques rien, ne t'inquiète pas) Je ne connais pas bien F-secure... mais je suppose que c'est possible depuis la barre des tâches . Bonne chance

Bonsoir lorenzo84 et bienvenue sur le forum sécurité de zébulon, Ton rapport ne montre pas de signes d'infection, mais Hijackthis ne détecté pas tout. Pour commencer, tu vas appliquer cette procédure préliminaire, à laquelle j'ai ajouté la fermeture des ports critiques Phase 1 Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous) Télécharge Antivir Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible, consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard". Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente ! Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!) Télécharge Zebprotect et déplace-le sur le bureau Phase 2 Démarre Zebprotect en double-cliquant sur ZebProtect.exe Dans la partie "Fermer les ports critiques", coche la case Tout sélectionner Ne touche pas aux autres parties Clique sur le bouton Appliquer Ferme ZebProtect Retrouve le tuto de zebprotect sur cette page (uniquement la partie Fermer les ports critiques [*] Redémarre le PC, impérativement en mode sans échec. [*]Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=> Comment démarrer l'ordinateur en mode sans échec [*]A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur. [*]Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=> -Active la case : "Afficher les fichiers et dossiers cachés" -Désactive la case : "Masquer les extensions des fichiers dont le type est connu" -Désactive la case : "Masquer les fichiers protégés du système d'exploitation" -Puis clique sur "Appliquer". Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide. Cette fonction cleanmgr génére parfois un bug sous système Windows 2000. Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers : -C:\TEMP -C:\WINDOWS\TEMP -C:\Documents And Settings\Session utilisateur\Local Settings\Temp -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vider la corbeille Recherche et élimination des parasites avec Antivir=> lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent) Sauvegarde le rapport! Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE Puis, désinstalle Antivir dans ajout/suppression de programmes. Redémarre le PC en mode normal Installation et utilisation d'HijackThis=> Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis". Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Arrête tous les programmes en cours et ferme toutes les fenêtres Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran. Phase 4 Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir. Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci : Exécute Hijackthis : Clique sur "Open the misc tools sections" Clique sur "Open uninstall Manager" Clique sur "Save list" Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post. [auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso] Bon courage NB: Fais le scan de sécurité de zébulon une fosi la procédure appliquée, et indique moi les résultats (fais un copier/coller)

Re, Maintenant, fais ceci : La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/ -- Pour commencer, installe Ewido en suivant les instructions données par le logiciel -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : - Clique sur le bouton "Fix checked" Etape 3 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 4 : Désinstallation de Peerguardian Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer : - PeerGuardian Etape 5 : Suppression du dossier de PeerGuardian Depuis l'explorateur Windows : => Supprime le dossier suivant (en gras) : - C:\Program Files\PeerGuardian2 => Vide la corbeille Etape 6 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 7 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 8 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté : Etape 9 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 10 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Bonsoir piece of wood, Ca correspond au dossier des url d'IE contenues dans Outils > Favoris > Liens Dans ton cas, il y en a pas, la ligne est inutile, mais pas infectieuse. Cette ligne apparaît suite à un écran bleu / disfonctionnement matérielle... pas infectieuse Tu as entièrement raison, il vaut mieux la laisser. Java non à jour peut-être un risque de sécurité, car ses scripts, pendant ta navigation, peuvent être utilisés à des fins infectieuses. De mise à jour tu veux dire ? Cette ligne correspond au processus de màj d'Adobe acrobat reader... elle n'est pas vraiment importante, étant donné qu'Adobe détecte les màj au lancement du logiciel. Apparemment, cette ligne correspond au démarrage du logiciel pour configurer ton WIFI. Pour l'instant, laisse là... l'optimisation n'est que secondaire. Je passe l'autre paquet de ligne (on en reparlera dans le cadre d'une optimisation si tu veux). On va s'intéresser aux ligne O17, qui sont effectivement infectieuses, et sont sûrement liées à l'infection Wareout . Veux tu bien faire ceci s'il te plait ? : ================================================================ Télécharge FixWareout de l'un de ces deux liens : http://downloads.subratam.org/Fixwareout.exe http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe Sauvegarde-le sur ton Bureau, puis lance-le. Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish. Suis les directives à l'écran. L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît. Le redémarrage risque de prendre un peu plus de temps; ceci est normal. Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également. ________________________________________________________________________________ Ensuite, scanne ton pc avec cet autre outil (après le redémarrage de FixWareout) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ================================================================ En tout, tu as 3 rapports à poster : - report.txt - le nouveau rapport Hijackthis - celui de blacklight A+ et bonne chance EDIT: Salut Charles, bruce lee, Bruce lee avait en fait posté 2 min avant moi et je n'avais pas vu son post. J'ai actualisé et il a tout remplacé par "un petit bug" ...

Bonjour revestor, Antivir semble en effet avoir supprimé 2 infections mais ton rapport Hijackthis montre toujours des signes d'infections. Pour télécharger chercher.cmd, il suffit de cliquer sur chercher.cmd : - Télécharge chercher.zip <= ici sur ton bureau - Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier "chercher" va être créé - Ouvre le et double-clique sur chercher.cmd - Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le Bloc-notes, clique sur le menu Edition / Sélectionner tout -- A nouveau menu Edition / Copier -- Dans un nouveau message ici, faire un clic droit / Coller Je commence à rédiger une procédure pendant que tu fais la manip... A+ EDIT : Ok, pas de problèmes

Re Monies, Nan, je ne suis pas un génie ... ces manips de désinfection n'ont rien de magique En tout cas, merci pour le petit mot (à la fin du post)... ça motive les troupes Sinon, le nouveau rapport Hijackthis est propre, beau boulot. D'autant plus que tu sembles ne plus avoir aucun disfonctionnement . Cependant, on va scanner ton système avec un antivirus en ligne, pour vérifier si il reste des éventuelles traces d'infection : =============================================================== * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) =================================================================== N'oublie pas de copier/coller le contenu du rapport dans ton prochain post. A+ et bonne chance

Bonsoir revestor, Ton log Hijackthis montre des signes d'infections... Commence donc par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi : J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!) Phase 2 Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=> Comment démarrer l'ordinateur en mode sans échec A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur. Affiche tous les fichiers et dossiers cachés par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=> -Active la case : "Afficher les fichiers et dossiers cachés" -Désactive la case : "Masquer les extensions des fichiers dont le type est connu" -Désactive la case : "Masquer les fichiers protégés du système d'exploitation" -Puis clique sur "Appliquer". Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide. Cette fonction cleanmgr génére parfois un bug sous système Windows 2000. Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers : -C:\TEMP -C:\WINDOWS\TEMP -C:\Documents And Settings\Session utilisateur\Local Settings\Temp -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vider la corbeille Recherche et élimination des parasites avec Antivir=> lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent) Sauvegarde le rapport! Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE Puis, désinstalle Antivir dans ajout/suppression de programmes. Redémarre le PC en mode normal Installation et utilisation d'HijackThis=> Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier"; nomme le "HijackThis". Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom); crée un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Arrête tous les programmes en cours et ferme toutes les fenêtres Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran. Phase 4 Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir. Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses Je te demanderais d'ajouter aux deux rapports déjà demandés celui-ci : - Télécharge chercher.zip sur ton bureau - Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier "chercher" va être créé - Ouvre le et double-clique sur chercher.cmd - Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le Bloc-notes, clique sur le menu Edition / Sélectionner tout -- A nouveau menu Edition / Copier -- Dans un nouveau message ici, faire un clic droit / Coller [auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications de Gof, junior-sécu + modifications par moi-même] En tout, 3 rapports à poster : - Le rapport du scan d'Antivir - Le nouveau rapport Hijackthis - Le rapport de chercher.cmd Bon courage

Re, Petite parenthèse avant de commencer : L'utilisation de ce genre de logiciel n'est pas vraiment adéquate pour garder un pc propre (c'est peut-être de là que provient ton infection). Lis cet article de Tesgaz pour t'en rendre compte => Le P2P et ses conséquences Au cours de la procédure, je te le fais désinstaller... à toi de voir cependant si tu désires le garder ou non.. ______________________________________________________________ La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Comme tu as déjà Ewido d'installé, pas nécessaire de l'installer. En revanche, met-le à jour comme indiqué ci-dessous : -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Désinstallation d'Antivir Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer : - Antivir (si tu trouves) => 2 antivirus sur un même système peuvent entraîner des conflits et nuire à sa protection. Il est préférable que tu gardes Norton pour l'instant, et que tu désinstalles Antivir Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing) O21 - SSODL: CallBack Ware - {8e29f930-135a-4568-3338-24cbc8cbbfc1} - C:\WINDOWS\system32\pisia32.dll - Clique sur le bouton "Fix checked" Etape 5 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 6 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Désenregistre les .dll infectieuses de la manière suivante : - Va dans démarrer > exécuter. Tape la commande suivante (ce qui est en gras): regsvr32 /u C:\WINDOWS\system32\pisia32.dll - Un message t'avertit normalement du succès de l'opération - Fais la même chose avec la commande suivante (il se peut qu'elle ne fonctionne pas, Hijackthis montrant que le fichier correspondant a disparu => "File missing") : regsvr32 /u C:\WINDOWS\system32\vbsys2.dll => Supprime le dossier suivant (en gras) : - C:\Program Files\Shareaza (sauf si tu ne l'as pas désinstallé) => Supprime les fichiers suivants, si ils existent encore (en gras) : - C:\WINDOWS\system32\pisia32.dll - C:\WINDOWS\system32\vbsys2.dll => Vide la corbeille Etape 7 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 8 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 9 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté : Etape 10 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 11 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.