tornado

Re, J'ai édité le message précédent en y ajoutant une petite manip que tu dois faire. Ca m'aidera pour la procédure. (au cas où tu n'aurais pas vu) A+

Bonjour Monies et bienvenue sur le forum sécurité de zébulon, Ton rapport Hijackthis montre en effet des signes d'infections. Pourrais-tu faire ceci pour commencer ? : - Télécharge chercher.zip sur ton bureau - Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier "chercher" va être créé - Ouvre le et double-clique sur chercher.cmd - Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le Bloc-notes, clique sur le menu Edition / Sélectionner tout -- A nouveau menu Edition / Copier -- Dans un nouveau message ici, faire un clic droit / Coller A+ EDIT: Mon édition et ton post se sont croisés... comme tu le vois, j'ai édité le mien. Tu sais ce qu'il te reste à faire

Bonjour WhyNot et bienvenue sur le forum sécurité de zébulon, Connais-tu ce programme ? : ________________________________________________________ Bon, sinon, rien à signaler sur ton rapport Hijackthis. Je pense que tes ralentissements sont dûs à un trop grand nombre de logiciels inutiles, lancés au démarrage. J'aimerais quand même savoir quelque chose : Est-ce que les problèmes sont survenus après l'installation d'un logiciel, d'une mise à jour ? Pour vérifier que ton système est propre, tu peux faire ces 2 scans : =========================================================== * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Réactive le bouclier Web d'avast - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+

Re, En effet, 2 fichiers infectés, mais ignorés. Le reste étant des fichiers légitimes. Il se pourrait qu'ils soient infectieux, des fichiers audio dans /etc (ce sont des fichiers audio ; Windows Media Audio ). Est-ce toi qui a dépclacé le dossier /etc vers la partition D: ? Tu vas quand même scanner ces 2 fichiers : D:\etc\beruriers 1984 10.wma D:\etc\les garçons bouchers 14.wma ... à partir de ces 2 sites : => http://virusscan.jotti.org/ -- Clique sur Parcourir , sélectionne D:\etc\beruriers 1984 10.wma, clique sur Ouvrir, puis sur Submit. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse. -- Clique sur Parcourir , sélectionne D:\etc\les garçons bouchers 14.wma, clique sur Ouvrir, puis sur Submit. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse. => http://www.virustotal.com/en/indexf.html -- Clique sur Parcourir , sélectionne D:\etc\beruriers 1984 10.wma, clique sur Ouvrir, puis sur Send. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse. -- Clique sur Parcourir , sélectionne D:\etc\les garçons bouchers 14.wma, clique sur Ouvrir, puis sur Send. Une fois l'envoie terminé, tu obtiens un rapport. Copie/colle-le dans ta prochaine réponse. _____________________________________________________________________ Au total, 4 rapports que tu dois mettre dans ta prochaine réponse. Bonne chance

Re, C'était trop simple pour que ça fonctionne C'est normal que chacun n'ait pas le même, c'est un fichier qui constitue en partie la base de registre :/ As-tu essayé avec la console de récupération ? => http://speedweb1.free.fr/frames2.php?page=outils4#copy A+

Salut sebdraluorg, Voici le fichier (uploadé depuis linux, c'est grave ?) => http://www.sendspace.com/file/9oxsmc A+

Re, Je viens de remarquer que j'ai laissé traîner quelques erreurs dans ma procédure. (je viens d'éditer le post et de barrer les erreurs). J'ai mal gérer le copier/coller sur ce coup ... désolé. C'est sûrement pour cela que je vois encore cette ligne sur ton dernier rapport : (en voyant le titre de l'étape 4), j'aurais pu comprendre ta réaction). Veux tu donc reprendre les étapes 2, 4, 7 (uniquement pour la suppression du fichier C:\WINNT\system32\ladchkr.exe) 11 et 12 (dans l'ordre de la procédure) La procédure remaniée si tu veux (c'est plus clair déjà) : ______________________________________________________________ La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 2 : Désactivation / Suppression du service infectieux * Désactivation Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) recherche le service suivant: ladchkr Quand le service est trouvé, pointe dessus, double-clique (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter, puis déroule le Type de Démarrage pour le modifier en Désactivé Clique sur Appliquer puis OK * Suppression Lance Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir clique sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entre dans la zone de dialogue : ladchkr Note : assure-toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer NO Etape 3 : Suppression du fichier infectieux Depuis l'explorateur Windows : => Supprime les fichier suivant, si il existe encore (en gras) : - C:\WINNT\system32\ladchkr.exe => Vide la corbeille Etape 4 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 5 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le nouveau rapport Hijackthis (généré en mode normal) _________________________________________________________ Désolé pour le désagrément ... A+

Bonjour psychopathe, Je suis désolé du retard, le topic m'avait échappé Essaie de le faire avec un scan différent de panda, celui de Kaspersky : - Pour cela, rend toi sur cette page => http://webscanner.kaspersky.fr/ - Et clique sur l'image suivante pour lancer l'outil : - A la fin du scan, n'oublie pas de sauvegarder le rapport (que tu devras copier/coller dans ta prochaine réponse) - Pour utiliser ce scan en ligne, tu peux suivre ces instructions => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte) ______________________________________________________________ Sinon, le scan de blacklight n'a rien donné. On va donc tenter un autre scan, pour vérifier si des applications ne se lancent pas en silence au démarrage : - Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip - Déconnecte-toi du net et ferme toutes les applications en cours - Lance le fichier .vbs - Une fenêtre s'affiche, clique sur yes - Le scan est alors démarré, patiente quelques secondes - Un message t'informe de la fin du scan - Un fichier .txt est alors créé dans le même dossier que silentrunners - Copie l'intégralité de son contenu, puis poste-le Ce problème de lenteur existe-t-il depuis l'installation d'un programme, d'une mise à jour ? Si les 2 scans ne donnent rien, on pourra conclure que le problème n'est pas d'origine infectieuse. A+

Re, Arf oui désolé (limage datait un peu). Je vais refaire une capture... voilà => http://pix.nofrag.com/29/5f/201c28e0f507cd...44b94bc475.html Et même si, après avoir coché ces cases, la recherche ne donne rien, fais-ceci : - Lance Antivir (depuis le petit icone dans la barre des tâches) - Rend toi sur l'onglet Guard - Copie/colle dans ta réponse le chemin donné dans le champ "Last file found" A+ PS: Non, pas de soucis (déjà dit dans mon dernier post). Ce sont des fichiers légitimes associés au fichier d'installation de Winrar (tu peux vérifier si tu veux) A+

Re, Les fichiers détectés sont bien légitimes (y compris ceux liées à Winrar : fichier d'installation). Donc pas d'inquiétude Pour ce qui est de l'alerte d'antivir, ça ressemble à un faux-positif , d'après qiemques recherches (fichier légitime détecté comme infectieux) J'aimerais cependant qu'on ait le chemin complet du fichier, afin de l'analyser et éventuellement de le soumettre au service technique d'antivir. Pour cela, essaye de faire une recherche du fichier suivant sur C:\ avec l'outil de Windows (poste de travail > bouton "Rechercher" avec une loupe) : urlclassifier.sqlite-journal Vérifie bien d'avoir coché toutes ces cases dans les options avancées. Ensuite, tu fais un clic droit sur le fichier > propriétés. Et tu copies/colles ce qu'il y a après "emplacement" A+

Bonsoir, Il reste encore 2-3 bricoles ... (Not disinfected) Ne pas se soucier de [C:\Documents and Settings\Moi\Mes documents\AG\LooknStop_205\LeakTest\leaktest.exe] qui est légitime. Tu peux supprimer ce fichier infectieux : C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi et vider la corbeille. Sinon, il y a un autre fichier sur lequel j'émet quelques doutes : C:\EasyDivX\softs\ck.exe Fais-le donc analyser par l'intermédiaire de ces 2 sites : => http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne ck.exe, clique sur Ouvrir, puis sur Submit ) => http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne ck.exe, clique sur Ouvrir, puis sur Send ) Tu obtiendras 1 rapport pour chaque site. Fais un copier/coller de chacun de ces rapports dans ta prochaine réponse. A+ PS: Est-ce que ce problème est survenu suite à 'linstallation d'un logiciel par exemple ?

Bonsoir ataya, A priori, pas d'infection sur ton rapport. Le problème, c'est sûrement la formule : 2 antivirus + emule au démarrage. En effet, 2 antivirus installés sur un pc peuvent entrer un conflit. Du coup, il peuvent perdre toute leur efficacité. De plus, Emule consomme énormément de ressources. Et c'est avant tout un logiciel de p2p, dont l'utilisation peut être un risque de sécurité. Lis cet article de Tesgaz pour t'en rendre compte => le P2P et ses conséquences Je te recommande de quand même appliquer la procédure de pré-nettoyage => http://forum.zebulon.fr/index.php?showtopic=83986 Profite du mode sans échec pour désinstaller un de tes 2 antivirus (via Démarrer > Panneau de configuration > Ajouter/supprimer des programmes" ). Le choix importe peu, ils sont tous les 2 efficaces. Et si tu es d'accord, tu peux aussi désinstaller Emule (pour vérifier si c'est lui qui fait ramer ton pc ) J'aimerais, en plus du rapport Hijackthis (à la fin de la procédure), que tu mettes celui du scan d'antivir. Pense donc à Sauvegarder le rapport (choisis "Report" à la fin du scan, et enregistre le fichier .txt sur le bureau par exemple) A+

Re, Le programme semble bien compatible avec Windows 2000 (et même avec Windows 98) : => http://windowsxp.mvps.org/IEFIX.htm Bon sinon, pour télécharger l'outil, je n'ai pas indiqué le bon lien (version antérieure , 1.5). Le lien pour télécharger la dernière version est ici => http://windowsxp.mvps.org/utils/IEFix.zip (version 1.6) A+

Re, Silentrunners ne montre rien. Donc le problème n'est pas d'origine virale, et ton système est propre Pour réparer IE, essaye de faire ceci : - Télécharge Iefix => http://files5.majorgeeks.com/files/335cd1b...wsers/iefix.zip (Dézippe-le sur le bureau) - Double-clique sur IEfix.exe - Clique sur Apply - Le logiciel te demandera peut-être le cd d'installation de Windows2000 pour remplacer les fichiers corrompus - Une fois les opérations effectuées, redémarre le pc - Le tuto traduit en français par un membre de 01.net => http://forum.telecharger.01net.com/ordinat...1.html#post2673 A+

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/ -- Pour commencer, installe Ewido en suivant les instructions données par le logiciel -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Désinstallation (classique) de ton ancien antivirus du logiciel infectieux Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer : - RXToolBar (si tu trouves) Etape 4 : Désactivation / Suppression du service de ton Antivirus (plus fonctionnel) infectieux * Désactivation Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) recherche le service suivant: ladchkr Quand le service est trouvé, pointe dessus, double-clique (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter, puis déroule le Type de Démarrage pour le modifier en Désactivé Clique sur Appliquer puis OK * Suppression Lance Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir clique sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entre dans la zone de dialogue : ladchkr Note : assure-toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer NO Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\Run: [Ads checker] adchkr.exe O4 - HKLM\..\Run: [semanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\system32\vbsys2.dll - Clique sur le bouton "Fix checked" Etape 6 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 7 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Désenregistre la .dll infectieuse, de la manière suivante : - Va dans démarrer > exécuter - Copie/colle la commande suivante : regsvr32 /u C:\WINNT\system32\vbsys2.dll - Clique sur Ok - Un message t'avertit normalement du succès de l'opération => Supprime le dossier suivant (en gras) : - C:\Program Files\RXToolBar => Supprime les fichier suivant, si ils existent encore (en gras) : - adchkr.exe - C:\WINNT\system32\ladchkr.exe - C:\WINNT\system32\vbsys2.dll NB: Le fichier n'indiquant pas son chemin est propbablement situés dans C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. => Vide la corbeille Etape 8 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 9 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 10 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté : Etape 11 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 12 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal)

Bonjour djibril15, Désolé pour le retard. Pour l'instant, on va désinfecter. Je prépare une procédure, réponse dans 15 min 1h environ. A+

Re, Désolé pour le retard C'est pas important si Panda n'a pas fonctionné, le scan de Kaspersky étant presque équivalent. Rien à signaler pour le rapport de Kaspersky. Pense juste à vider la quarantaine de Norton . Et Blacklight n'a rien trouvé, donc pas de soucis. J'ai une question pour ton problème avec IE : Est-il survenu suite à une mise à jour de Windows ? (de ce mois-ci en particulier) On va vérifier une dernière fois si le problème n'est pas d'origine infectieuse avec Silentrunners, un outil qui permet de s'assurer si des applications se lancent en silence : - Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip - Déconnecte-toi du net et ferme toutes les applications en cours - Lance le fichier .vbs - Une fenêtre s'affiche, clique sur yes - Le scan est alors démarré, patiente quelques secondes - Un message t'informe de la fin du scan - Un fichier .txt est alors créé dans le même dossier que silentrunners - Copie l'intégralité de son contenu, puis poste-le A+

Re, J'avais demandé de lister ce rapport uniquement pour vérifier la présence de la valeur NI.UERSV_0001_N68M0602. Or on est parvenu à la supprimer grâce au BFU. Je voulais juste savoir si tu arrivais à accéder normalement à Regedit ( démarrer > exécuter et tape regedit ou regedt32). Est-ce le cas ? - Quel est le modèle/marque de ton graveur ? (va voir dans Démarrer > clic droit sur "Poste de travail" > Propriétés > Onglet "Matériel" > Gestionnaire de périphériques > Lecteur de Cd-rom/Dvd-rom ) - Utilises tu un logiciel approprié pour la gravure ? (Nero, Deep burner ... ) Bon sinon, j'aurais bien aimé que tu fasses le scan de Kaspersky (t'inquiète pas, ça sera le dernier) Par ailleurs, as-tu toujours des disfonctionnements ? A+

Salut phmt, Ca serait bien que tu fasses un scan antivirus en ligne, pour vérifier que le système est sain et éventuellement repérer quelques restes de malwares (tu avais fait le scan panda il y a plus d'un mois) Je te propose de le faire avec un scan différent de panda, celui de Kaspersky : - Pour cela, rend toi sur cette page => http://webscanner.kaspersky.fr/ - Et clique sur l'image suivante pour lancer l'outil : - A la fin du scan, n'oublie pas de sauvegarder le rapport (que tu devras copier/coller dans ta prochaine réponse) - Pour utiliser ce scan en ligne, tu peux suivre ces instructions => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte) A+

Re, Ton nouveau rapport Hijackthis est porpre, beau boulot On va terminer la désinfection par la suppression des fichiers en quarantaines d'Ewido (pour la plupart des fichiers infectieux dans la quarantaine de pestpatrol). Ensuite, tu vas scanner ton système avec d'autres outils, pour détecter les traces écventuelles d'infections : =============================================================== 1) Suppression des fichiers en quarantaine d'Ewido - Lance ewido anti-spyware depuis le bureau - Clique sur le bouton "Infections" dasn le menu du haut - Clique sur l'onglet "Quarantine" - Choisis "Select all" puis clique sur "Remove finally" 2) Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) 3) Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+ PS: Des solutions pour réparer IE existent. Si les différents scans ne donnent rien, on les utilisera.

Bonjour Minikisscool, Le problème n'est visiblement pas d'origine infectieuse. Je pencherais davantage pour un problème matériel (disque dur ) Je t'invite donc à poster dans la section Software du forum, en exposant précisément tes problèmes. Précise si tu désires récupérer les données. Des solutions sont peut-être envisageables (live-cd ?) Tiens moi au courant. Bonne chance

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/ -- Pour commencer, installe Ewido en suivant les instructions données par le logiciel -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\Run: [NsUpdate] C:\WINNT\NsUpdate.exe UPDATE O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/en/SysWebTelecomInt.cab O16 - DPF: {AA760512-9BD8-4B1B-9E7A-DD9BBE3CF119} (PandoraBoxCtrl Class) - http://front.boonty.com/Prometheus/PandoraX.cab O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) - Clique sur le bouton "Fix checked" Etape 6 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 7 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Supprime les fichiers suivants, si ils existent encore (en gras) : - C:\WINNT\NsUpdate.exe - C:\WINNT\web\related.htm => Vide la corbeille Etape 8 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 9 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 10 : Nettoyage du registre On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté : Etape 11 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 12 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Re, Ok ... pas de problème. Si un jour tu désires l'enlever du démarrage , tu n'auras qu'à fixer cette ligne (Hijackhtis > do a system scan only > coche la ligne > "Fix checked") O4 - HKLM\..\Run: [TrustInstaller] F:\Setup.exe Je prépare donc une procédure de désinfection, réponse dans 15 min environ. A+

Bonjour djibril15 et bienvenue sur l'espace sécurité de zébulon, Ton rapport Hijackthis montre des signes d'infection (Rxtoolbar etc). Il te faut donc appliquer la procédure de pré-nettoyage, qui permettra de "préparer le terrain", en supprimant quelques infections => http://forum.zebulon.fr/index.php?showtopic=83986 En plus du rapport Hijackthis, j'aimerais que tu ajoutes le rapport du scan d'antivir. Pense donc à Sauvegarder le rapport (choisis "Report" à la fin du scan, et enregistre le fichier .txt sur le bureau par exemple) A+

Bonjour Toutatis, Ton rapport Hijackthis ne montre aucun signe d'infection ... Ton problème n'est probablement pas d'origine infectieuse. Tu vas quand même t'en assurer en scannant ton système avec ces différents scans : =============================================================== * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+