tornado

Salut Jagaumo, gabyjord, charlie, C'est un élément de Dell (en faisant quelques recherches)... reste à confirmer Jette un coup d'oeil ici ---> http://www.macdisk.com/ Donc rien d'infectieux sur ce rapport. EDIT: Salut Jack

Re, J'avais pas vu que tu utilisais le teatimer de Spybot. Celui ci empêche les modifications du registre. Résultat hijackthis n'a pas bien fonctionné: -Désactive le teatimer de Spybot -Lance hijackthis, "do a system scan only", puis coche ces lignes: O2 - BHO: (no name) - AutorunsDisabled - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.antivirus-france.com/kav...can_unicode.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab -Fais "fix checked" O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe --> cette ligne correspond au lancement d'Adobe Reader au démarrage, qui est inutile (il se lance de lui même si besoin il y a) , va dans "démarrer" --> "exécuter"--> tape "msconfig" (sans les guillemets), Va dans l'onglet "démarrage" et décoche "Adobe reader". Valide puis redémarre. Bon ensuite tu peux faire un scan avec Ewido: - Télecharge la version d'essai d'Ewido ---> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" (protection en temps réel) - Fais la mise à jour - Lance un "scan complet" - A la fin du scan, sauve le rapport - Vide la quarantaine Poste le rapport d'Ewido ainsi qu'un nouveau rapport Hijackthis

Salut Cusco, catetmic, Si ta méthode fonctionne, heureux pour catetmic. Fais quand même un scan hijackthis catetmic (à titre de vérification après la manip de Cusco): -Télécharge hijackthis ---> http://telechargement.zebulon.fr/138-hijackthis-1991.html -Déplace hijackthis.exe dans un repertoire NON temporaire (ex: dans C:\program files\ , crée un dossier "hijackthis") -Lance hijackthis -Clique sur "Do a system scan and save a logfile" -Fais "scan" -Copie le rapport qui apparait à l'écran -Colle-le dans ton prochain post PS: c'est quand même bizarre que ce "Handybits file shredder" soit si difficile à supprimer...

Merci pour vos explications, Qc001 eT Tirol Je ne savais pas que les manifestations de Lop sur un rapport étaient aléatoires ... mais maintenant j'ai bien compris. A+

Salut catetmic, regis56, As tu essayé de désinstaller via "ajouter/supprimer des programmes" en mode sans échec ? (F8 au démarrage du pc) ? Cela devrait marcher car le mode sans échec lance le minimum de processus au démarrage. Or ton logiciel est sûrement utlilisé par l'un d'eux en mode normal EDIT---> Tu pourrais poster un rapport hijackthis pour voir comment se manifeste le soft concerné sur ton système (services? démarrage?...), avant d'appliquer les manips ci dessous ? En dernier recours , supprime directement le dossier C:\program files\Handybits file Schredder -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille -Puis télécharge Jv16 Powertools --> http://www.zebulon.fr/articles/base-de-registre-3.php -Nettoie ton registre avec ce soft selon le tuto suivant --> http://www.zebulon.fr/articles/base-de-registre-3.php NB: fais aussi ces manips en mode sans échec Puis redémarre en mode normal A+

Salut, Bon, étant donné que tu as déjà effectué le scan de Kasperky en ligne qui est assez efficace (antivirus), tu peux scanner ton pc avec Spysweeper, qui est spécialisé dans les trojans, adwares et spywares (anti-malware et non antivirus) : A+ et n'oublie pas de poster le rapport

Re liloute, QC001, Je pensais lui faire désinstaller puis lui faire désinstaller mais bon... Tu n'avais pas installé les sponsors dès le début si je comprends bien... De toute façon, lopremover n'a pas fait de mal. Au fait QC001, merci d'avoir pris la suite PS: Juste une chose liloute, as-tu désactivé le service SmartLinkService comme je te l'avais demandé?

Salut pitcat,liloute, Tu as oublié de passer un coup de Lopremover. Fais comme Jack burton dans sa procédure: - Redémarre ensuite en mode normal - Lance hijackthis, "do a system scan only" puis coche les lignes suivantes: O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab -Fais "fix checked" -Puis dans démarrer --> exécuter --> tape "services.msc" (sans les guillemets) -Double clique sur le service suivant: SmartLinkService (SLService) -Va dans "type de démarrage" puis sélectionne "désactivé" -Valide -Redémarre, fais un nouveau scan hiajckthis et poste le rapport obtenu. A+

Salut Bak, Il faut demander à ton ami quel usage il fait de son pc... Les nouveaux malwares ont tendance à se propager via les réseaux p2p et site "illégaux" (cracks, warez). La base antivirale de Bitdefender n'est sûrement pas à jour pour cette nouvelle variante de Smitfraud. Et puis de toute façon, il n'est pas censer l'éradiquer, comme toutes les variantes de Smitfraud telles que Spywarestrike... (aucun antivirus n'en est capable d'ailleurs ) Est-ce que tu pourrais demander à ton ami de nous faire parvenir un rapport hijackthis ainsi que le rapport d'Ewido, après application la procédure de Qc001? A+ et bonne chance

Salut picher, horus agressor Ta procédure est incomplète Horus agressor, à moins que tu désires la poursuivre... Donc picher je te conseille de faire ceci en mode sans échec, après avoir appliqué la procédure de Tesgaz et le scan de Multi Virus Cleaner 2006: -Commence par vider la quarantaine de Spybot (va dans "sauvegardes", puis "purger les éléments sélectionnés" -Désinstalle le programme suivant : Uniyware -Supprime le dossier C:\Program Files\Uniyware\ -Puis avant toute recherche et suppression de fichiers, fais comme te l'a dit Horus Agressor -Recherche puis supprime les fichiers en gras : C:\WINDOWS\system32\hticscui.exe C:\WINDOWS\system32\iexulib.dll C:\WINDOWS\system32\kd1fgnt5.exe - Vide la corbeille - Ton rapport hijackthis est propre mais tu peux fixer quelques lignes superflues; - Lance hijackthis, "do as system scan only" puis cohe les lignes suivantes: 02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dl O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.antivirus-france.com/kav...can_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131979146022 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1134495173140 -Fais "fix checked" -Redémarre en mode normal et poste un nouveau rapport hijackthis. A+ et n'oublie pas de faire ce que t'a préconisé Horus agressor avant de faire tout ce que je t'ai dit.

Salut zarbi, En effet, ces 2 programmes ont disparu du log...mais mieux vaut ne pas crier victoire trop vite. Est-ce qu'il t'es possible de te connecter à Internet désormais ? Si c'est le cas, effectue ces 3 scans en lignes: -Kaspersky online scanner ---> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (marche uniquement avec IE) -Panda activescan ----> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (marche uniquement avec IE) -Trendmicro online scanner ---> http://fr.trendmicro-europe.com/consumer/h...call_launch.php (fais scanner maintenant, puis "appeler housecall") Poste succesivement les rapports de ces 3 scans. A+ et sois un peu patiente (les scans sont un peu longs)

Salut zarbi, Tu vas pas être surprise mais le rapport mentionne toujours la présence de ces satanés fichiers introuvables... Bon laisse tomber avec la Killbox, fais un clic droit sur chaque fichier incriminé puis fais "effacer". Mais là, pas sûr que ça fonctionne... Après les avoir effacés avec starter, redémarre. Fais un nouveau scan hijackthis puis poste le rapport généré. Je viens de remarquer quelque chose: MSWSA32.exe a disparu de ton log Plutôt bizarre car tu n'es pas parvenue à le supprimer. Enfin tente la manip avec starter et on verra bien... Sinon, delldomains n'a pas fait son boulot correctement. Lance hiajckthis ; "do a system scan only" et coche les lignes suivantes: O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone -Fais "fix checked" puis redémarre Bonne chance

Salut pear, Zarbi, Très bonne idée Pear Cela permettrait également de localiser l'emplacement du programme malveillant au démarrage... -Télécharge "starter" ---> http://telechargement.zebulon.fr/185-Starter.html -Une fois installé, dans le petit panneau de gauche "section", va d'abord dans "all sections" -Le programme " MSWSA32.exe " s'affiche normalement. Fais un clic droit sur celui-ci puis va dans "propriétés du fichier". Le chemin de celui ci s'affiche normalement... Copie le dans le champ "Full path of file to delete" de la killbox puis supprime (coche la ligne "delete on reboot" puis supprime comme indiqué dans mes posts précédents) -Redémarre -Relance "starter", puis va cette fois ci dans "Registre"--->"tous les utilisateurs---> "Run" et supprime la clé qui correspond à MSWSA32.exe (clic droit sur celles ci puis "effacer") -Puis dans "dans tous les utilisateurs"--> "RunServices", les programmes "rbldnvx.exe" et nrbfxxim.exe doivent normalement apparaître. Copie leur chemin puis supprime les avec la Killbox (comme pour l'autre fichier). Redémarre pour chaque fichier supprimé. Quand tu auras fait tout ça, fais un nouveau scan Hijackthis puis poste le rapport.

Salut, Applique la procédure suivante ---> http://forum.zebulon.fr/index.php?showtopic=83986 Et poste un nouveau rapport hijack. Concernant ton problème de firewall, c'est un peu bizarre car le routeur est censé bloqué ces attaques. Des ports ont sûrement été ouverts; fais le test de sécurité de zeb ---> http://www.zebulon.fr/outils/scanports/test-securite.php puis indique nous le résultat. Je te conseille, après avoir fait tout cela, de désinstaller Kaspersky antihacker via "ajouter/supprimer des programmes" et d'installer un vrai firewall comme Kerio ou Zone alarm, gratuits, simples et effficaces ---> pour les télécharger c'est ici ---> quelques tutoriaux: - http://www.zebulon.fr/articles/configurationZA_1.php (Pour Zonelarm) - http://www.vulgarisation-informatique.com/kerio.php (kerio)

Bonsoir Jean-Yves Pour l'antivirus, ce n'est pas très important de toute façon. Une navigateur sécurisé, un pare-feu bien configuré ainsi qu'un comportement prudent sur le net sont suffisants. Et vu que t'ulises depuis un an, apparemment sans problèmes ... Un petite lecture avant de partir : Consignes de sécurité A+ "et peut-être à une autre fois"

Salut Goofy, L'extension Flashgot te permet de télécharger à partir de firefox, et avec ton gestionnaire de téléchargement... ---> https://addons.mozilla.org/extensions/moreinfo.php?id=220 Tu vas voir, c'est très simple NB: Une fois l'extension téléchargée puis installée, redémarre Firefox pour finaliser l'installation. Edit : Médicus Euh what are you talking about ??? Faut s'y faire

Salut Jy21, Ton rapport est propre (celui en mode normal était suffisant). Tu peux encore optimiser ton rapport... en te rendant dans le sous-forum optimisation. Bon sinon une petite question: Est ce que cela fait longtemps que tu as Avg comme antivirus? Car il est réputé moins efficace que d'autres antivirus gratuits tels que Antivir ou Avast . Je te conseillerais plutôt de te tourner vers avast, qui fonctionne très bien avec le firewall Kerio. Voilà, A+

Salut à tous, Je tiens à signaler qu'un petit utilitaire permet de désinstaller proprement les Drivers starforce si problèmes il ya ... Starforce removal tool ---> http://onlinesecurity-on.com/downloads/sfdrvrem.zip Donc mieux vaut passer cet outil après désinstallation du jeu.

Re, Pour ces 3 fichiers: - rbldnvx.exe - MSWSA32.exe - nrbfxxim.exe As tu fait une recherche manuelle ou avec l'outil recherche de Windows ? Essaie avec ce dernier en changeant quelques paramètres dans la recherche: - Recherche "tous les fichiers et tous les dossiers - Dans le champ "rechercher dans", sélectionne "Disques durs locaux" - Dans "options avancées", et le champ "types de fichier", séléctionne "tous les fichiers et dossiers" - Toujours dans "options avancées", coche TOUTES les cases: - Et tapes le nom exact du fichier dans le champ "une partie ou l'ensemble du nom du fichier" - Recherche puis supprime les fichiers trouvés avec la killbox (en recopiant le chemin du fichier par exemple) De plus va dans Msconfig, puis décoche la case: MSWSA32 -Valide puis redémarre A+

Re, Les fichiers que tu avais supprimés réapparaissent dans ton log Fais attention à bien faire ceci avant toute chose: On va procéder avec la killbox, un utilitaire efficace pour se débarasser des fichiers malveillants: -Téléchage ce soft à cette adresse: http://www.downloads.subratam.org/KillBox.zip -Une fois lancé, recherche les fichiers suivants : (dans le champ "full path or file to delete") --> - rbldnvx.exe - MSWSA32.exe - nrbfxxim.exe NB: ces fichiers se situent normalement dans C:\Windows ou C:\Windows\system32 - Coche la ligne "delete on reboot" - Supprime le fichier --> - Redémarre (à chaque fichier supprimé tu redémarres) - Télécharge "deldomains" --> http://www.mvps.org/winhelp2002/restricted.htm (sur "Deldomain.inf", fais clic droit puis "enregistrer la cible du lien sous" - Et c'est tout car il s'exécute pendant le téléchargement - Redémarre Fais un nouveau scan hijackthis puis poste le nouveau rapport A+

Salut Zarbi, Avant toute chose je viens de jeter un oeil à tes posts précédents et et notamment sur ça: J'avais pas fais attention à ça... -Fais démarrer ---> exécuter ---> tape "msconfig" -Va dans l'onglet "démarrage" et décoche les programmes suivants: - type 32 - rblndnvx - MediaGateway - zango - Microsoft Office - Valide puis redémarre Est ce que ce sont les seuls programmes qui se lancent au démarrage? Si ce n'est pas le cas, dis moi lesquels... Sinon à propos de Spysweeper, - Désinstalle les programme suivants (via "ajouter/supprimer des programmes"): -Winantispyware 2005 -WinAd Et supprime les dossiers Winantispyware 2005 et WinAd dans "program files" As tu bien désinstallé Mediagateway puis vidé le dossier correspondant dans "program files" ? Ensuite, tu va nettoyer ton registre en profondeur avec Jv16 powertools: -Télécharge jv16 powertools depuis cette page ---> http://telechargement.zebulon.fr/201-jv16-powertools.html -Nettoie ton registre selon ce tuto ---> http://www.zebulon.fr/articles/base-de-registre-3 -Supprime uniquement les clés associées à des "ronds verts" (va dans "sélection spéciale") Remarque: il est possible que Jv16 bug, quitte-le puis relance-le si c'est le cas chez toi Redémarre, fais un nouveau scan hijackthis puis colle le rapport dans ton prochain post. A+ (en espérant que l'accouchement s'est bien passé )

Re, Il y avait bien une trace de Smitfraud, Smitfraudfix s'en est chargé... Bon il reste encore looktome. Lm2fix va s'en charger: -Télécharge Lm2fix --> http://www.atribune.org/downloads/l2mfix.exe -Déplace Lm2fix.exe sur ton bureau -Double clique dessus -Clique sur "accept" puis "install" -Le dossier Lm2fix est crée dans le bureau -Maintenant ouvre ce dossier puis double clique sur Lm2fix.bat -Choisi l'option #1 en tapant 1 puis entrée -Le scan débute (dure quelques minutes) -Un rapport est alors généré (un fichier texte apparait à l'écran) -Colle son contenu puis poste-le Bonne chance et A+

Re, Après avoir appliqué la procédure préliminaire, fais ceci: - Télécharge SmitfraudFix ---> http://siri.urz.free.fr/Fix/SmitfraudFix.zip - Dézippe l'archive dans le bureau - Double-clique sur Smitfraudfix.cmd - Sélectionne 1 dans le menu - Un rapport est crée, poste-le - Redémarre en mode sans échec - Double-clique sur Smitfraudfix.cmd - Sélectionne 2 cette fois-ci dans le menu - Poste le nouveau rapport généré ainsi qu'un nouveau rapport Hijackthis. On verra plus tard pour les autres malwares qui subsistent sur ton pc après l'éradication de Smitfraud. A+

Salut, En effet, rien à signaler ... Est ce que tu pourrais faire un tout dernier scan hijackthis (avec le rapport qui va avec) pour vérifier si les lignes fixées ont bien disparues ? Firefox est moins utilisé que IE... certains sites nécessitent Internet Explorer ( Windows udpate...) A+

Salut x-teri, Ton rapport montre des signes d'infections. Applique la procédure suivante --> http://forum.zebulon.fr/index.php?showtopic=83986 Puis poste un nouveau rapport hijack. Edit: Une fois cette procédure appliquée, fais ceci: - Lance hijackthis, "do a system scan only", puis coche les lignes suivantes: O4 - HKLM\..\Run: [Microsoft Visual Studio] plscdksxg.exe O4 - HKLM\..\Run: [DRam prosessor] bmvxqfowc.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Windows Media Player Service] wmedia.exe O4 - HKCU\..\RunServices: [Windows Media Player Service] wmedia.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab - Fais "fix checked" - Va dans démarrer---> exécuter --> tape "services.msc" (sans les guillemets) - Double clic sur les services concernés (cités ci-dessous) - Puis va dans "Type de démarrage" et sélectionne "désactivé" - Valide - Fais cette opération pour les services suivants: - Win32Sr - Windows Archiver (winarc) - MS Dns Service (WinNet) - Ensuite supprime les fichiers suivants en gras (si ils existent encore) en vérifiant bien d'avoir fait ceci au préalable: - C:\WINDOWS\win32ssr.exe - plscdksxg.exe - wmedia.exe - bmvxqfowc.exe - C:\WINDOWS\windat.exe - C:\WINDOWS\system32\wincntrl.exe Les fichiers précédemment cités qui n'indiquent par leur localisation sont normalement situés dans C:\Windows ou C:\Windows\System32 Redémarre et poste un nouveau rapport hijackthis. A+