tornado

Re, AVANT DE COMMENCER Il faudrait déplacer Hijackthis.exe (C:\Documents and Settings\kévin\Bureau\HijackThis.exe) vers un répertoire dédié, afin de ne pas perdre les sauvegardes. Par exemple, crée un dossier au nom d'Hijackthis dans C:\Program files et déplaces-y Hijackthis.exe La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware --> Tu as déjà le logiciel, donc pas la peine de l'installer. Suis quand même ces instructions pour le mettre à jour : -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d' Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Redémarre l'ordinateur normalement pour commencer. Ensuite, au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php Etape 3 : Désactivation / Suppression des services de Norton * Désactivation Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) recherche le service suivant: Symantec Event Manager Quand le service est trouvé, pointe dessus, double-clique (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter, puis déroule le Type de Démarrage pour le modifier en Désactivé Clique sur Appliquer puis OK Refais strictement la même chose pour les services suivants : * Suppression Lance Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir clique sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entre dans la zone de dialogue : ccEvtMgr Note : assure-toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer NO Refais strictement la même chose pour les libellés suivants : ccPwdSvc ccSetMgr SNDSrvc Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses + celle(s) de Norton - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 - Clique sur le bouton "Fix checked" Etape 5 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 6 : Suppression des fichiers/dossiers infectieux ou ceux de Norton Depuis l'explorateur Windows : => Supprime les dossiers suivants (en gras) : - C:\Program files\SYMNET~1 (nom de dossier commençant par Symnet) - C:\Program Files\Fichiers communs\Symantec Shared => Supprime le fichiers suivant, si ils existe encore (en gras) : C:\WINDOWS\system32\winbfi32.dll => Supprime le contenu du dossier suivant : C:\WINDOWS\Temp Pour cela, double clique sur le dossier Temp dans C:\WINDOWS . Puis sélectionne tous les fichiers présents (Ctrl + A ), fais un clic droit sur l'un des fichiers et choisis Supprimer => Vide la corbeille Etape 7 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 8 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 9 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 10 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+

Re, Désolé ... j'avais pas vu que tu avais répondu Je vais manger ... je te réponds dès que j'ai fini A+

Re, J'aimerais vérifie quelque chose : - Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip - Déconnecte-toi du net et ferme toutes les applications en cours - Lance le fichier .vbs - Une fenêtre s'affiche, clique sur yes - Le scan est alors démarré, patiente quelques secondes - Un message t'informe de la fin du scan - Un fichier .txt est alors créé dans le même dossier que silentrunners - Copie l'intégralité de son contenu, puis poste-le A+

Re, Je pense qu'il vaut mieux que je te laisse entre les mains de personnes plus compétentes dans le domaine... => voir le Forum Software. L'option /Fastdetect est déjà présente chez toi ... c'est la première fois que je vois "NoExecute", peut être que celui-ci désactive l'option /Fastdetect. Je pense qu'il te serait possible de voir toute la ligne via Démarrer > Exécuter > Msconfig > Boot.ini Là tu fais une capture d'écran... Je ne sais pas trop... Peut-être faire un checkdisk (CHKDSK) pour réparer le Bloc défectueux. A mon avis, c'est à faire en dernier recours. Là non plus je vois pas trop... de toute façon, le fix pourra sûrement se désinstaller via "ajouter/supprimer des programmes". Vaut mieux pas toucher à ça à mon avis (à part si le reste ne fonctionne pas). A présent, je préfère ne pas te donner d'instructions (ce sont juste des avis), j'ai peu de connaissances dans WIndows et son fonctionnement et je vais éviter de te faire faire des bétises. Poste dans le forum Software, et indique évidemment le lien de ce topic Et ne crois pas que je me débarrasse de toi ... (je l'aurais fait depuis longtemps sinon ) A+ et bonne chance

Re, Pour la désactivation ou la suppression ? Ca n'a pas vraiment d'importance finalement, car le nouveau rapport Hijackthis est propre, beau boulot Par contre, je ne vois pas de rapport Ewido... l'aurais-tu oublié ? Pour terminer la désinfection, on va vérifier si ton système est complètement sain (peut-être savoir l'origine des messages publicitaires de Winantivirus pro), avec un scan av en ligne et un scan anti-rootkit (malwares cachés) : =============================================================== * Scan Av en ligne : Panda Activescan - Vérifie, pour commencer, qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie Paramétrer Internet Explorer - Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Réactive le bouclier Web d'avast - - Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte) * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) - Le rapport Ewido (que tu as probablement oublié de mettre dans ta réponse précédente) A+ PS: Je ne vois aucun Antivirus installé sur ton système. De nos jours, c'est indispensable d'en avoir un, pour avoir à la fois une protection résidente, et un outil pour faire les scans. Comme tu as déjà Kerio d'installé, je te recommander d'installé Avast, qui s'adapte très bien avec celui-ci, et qui est un antivirus efficace et gratuit : - Pour le télécharger, c'est ici => http://www.avast.com/eng/download-avast-home.html (choisis "French" dans la liste du bas) - Ensuite, il faut s'enregistrer pour recevoir une clé de licence gratuite, à entrer au démarrage d'avast => http://www.avast.com/i_kat_207.php?lang=FRE - Un tutoriel => http://www.pcentraide.com/index.php?showtopic=120

Re, Nan, ça ne posera pas problème, étant donné que les protections résidentes de tes autres antivirus ne démarreront pas en mode sans échec (Windows démarre avec le minimum de processus en mode sans échec) Et on te le fait désinstaller à la fin de la procédure Faut attendre la redirection. Le lien direct => http://speedweb1.free.fr/frames2.php?page=tuto5 A+

Re, Pour les températures, elles sont tout à fait convenables J'avoue ne plus avoir vraiment d'idées pour ton problème... Ce qui est sûr, c'est qu'il n'est pas d'origine infectieuse Essaye quelques manips présentes sur ce lien pour voir (uniquement la partie "Lenteur du démarrage de Windows XP") => http://www.d2i.ch/pn/depannage/lenteurs_ar...demarrages.html Dis moi si tu remarques quelque chose d'anormal ... A+

Re, RAS pour les 2 rapports. J'aimerais savoir quelque chose : As-tu désinstallé tes programmes "comparateurs de fichiers" ? => Si non, essaye de remettre en place RICHTX32.OCX 1 - Pour commencer, coupe/colle ton RICHTX32.OCX (qui se trouve dans C:\WINDOWS\system32 ) vers un endroit "sûr" 2-Télécharge RICHTX32.OCX ici et déplace-le sur ton bureau 3- Copie le RICHTX32.OCX que tu viens de télécharger (depuis le bureau) dans C:\WINDOWS\system32 4- Enfin va dans Démarrer > Exécuter et tape la commande suivante : regsvr32 \windows\system32\RICHTX32.OCX - Un message t'avertira normalement du succès de l'opération Traduction (simplifiée) de la page suivante => http://www.ascentive.com/support/new/suppo...me=RICHTX32.OCX ================================================================ => Si oui, il se peut qu'il en reste des traces dans le registre ... Bon, tu m'avais parlé de CCleaner pour le nettoyage du registre... mais il n'est pas suffisant. (il se peut que Windows soit ralenti au démarrage lorsque Windows recherche des fichiers supprimés, dont les traces existent toujours dans le registre). En bon nettoyeur de registre, tu peux essayer Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html Pour l'utiliser, tu peux suivre ces instructions : Le tutoriel en images => http://www.zebulon.fr/articles/base-de-registre-3.php Tu peux compléter le travail de Jv16 avec Regseeker Son tuto => http://www.zebulon.fr/articles/regseeker-1.php A+

Bonjour rise-flag, Ton rapport Hijackthis montre en effet des restes de Norton, mais il montre également quelques infections... Je te conseille donc d'appliquer la procédure de pré-nettoyage pour l'instant => http://forum.zebulon.fr/index.php?showtopic=83986 Moi ou quelqu'un d'autre viendra s'occuper de toi pour la suite. A+ et bonne chance

Re, Bizarre tout ça... Pour Winpatrol, laisse tomber, le rapport ne nous aidera pas plus Pour diskeeper, j'ai pas trop confiance. En fait, c'est le même défragmenteur que celui de Windows, avec une interface graphique différente Tu peux essayer avec un logiciel de défragmentation, gratuit et efficace, comme Power defrag GUI + contig.exe Un petit tuto pour son utilisation (+ liens de téléchargement) => http://forum.zebulon.fr/index.php?showtopi...mp;#entry632128 (merci à lol.2.dol) =================================================================== Avant de faire ce qu'il est indiqué ci dessus, fais ceci pour voir si des applications se lancent en "silence" : - Télécharge silentrunners et dézippe-le dans un répertoire dédié ---> http://www.silentrunners.org/Silent%20Runners.zip - Déconnecte-toi du net et ferme toutes les applications en cours - Lance le fichier .vbs - Une fenêtre s'affiche, clique sur yes - Le scan est alors démarré, patiente quelques secondes - Un message t'informe de la fin du scan - Un fichier .txt est alors créé dans le même dossier que silentrunners - Copie l'intégralité de son contenu, puis poste-le Ainsi qu'un scan "avancé" d'Hijackthis : - Lance hijackthis - Clique sur Open Misc Tools Section - Assure toi que les deux cases de droite sont bien cochées: List all minor sections (Full) List Empty Sections (Complete) - Clique sur Generate StartupList Log - Clique sur "oui" lorsque l'on te le demande. - Cela va générer un rapport, copie-le et poste le ici. ================================================================== A+

Bonjour xander et bienvenue sur le forum sécurité de zéb', Tes symptômes indiquent que ton système est probablement infecté (c'est même sûr). Je t'invite donc à suivre la procédure de pré-nettoyage, qui a été justement rédigée pour les "novices en informatique" => http://forum.zebulon.fr/index.php?showtopic=83986 Après on pourra s'occuper directement des infections/de l'infection responsable de ces disfonctionnements. A+

Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver ====================================================================== Etape 1 : Téléchargement / installation des outils nécessaires => Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a) - Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/ -- Pour commencer, installe Ewido en suivant les instructions données par le logiciel -- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. -- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" -- Ferme Ewido. Ne pas le lancer tout de suite. - Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html - ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe -- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus -- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main") - Jv16 Powertools de Macecraft Software --> http://telechargement.zebulon.fr/201-jv16-powertools.html -- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page) Etape 2 : Redémarrage en mode sans échec On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication : - Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].) - Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924 Etape 3 : Désinstallation (normale) des logiciels infectieux Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer : - Mywebsearch (si tu trouves) Etape 4 : Désactivation / Suppression du service infectieux * Désactivation Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) recherche le service suivant: Boonty Games Quand le service est trouvé, pointe dessus, double-clique (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter, puis déroule le Type de Démarrage pour le modifier en Désactivé Clique sur Appliquer puis OK * Suppression Lance Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir clique sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entre dans la zone de dialogue : Boonty Games Note : assure-toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer NO Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses - Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) : O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - HKCU\..\Run: [AirportTycoon3Setup.exe] C:\DOCUME~1\JEAN-S~1\MYDOCU~1\AIRPOR~1.EXE /r O4 - HKCU\..\Run: [blackhawkstriker2am.exe] C:\DOCUME~1\JEAN-S~1\Desktop\BLACKH~1.EXE /r O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm072XXUS O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstall..._my_car_pop.jsp O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c10.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab - Clique sur le bouton "Fix checked" Etape 6 : Modification de l'affichage des fichiers/dossiers A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher : - Va dans le poste de travail - Menu "Outils", "Option des dossiers", onglet "Affichage" : Et clique sur Ok Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Etape 7 : Suppression des fichiers/dossiers infectieux Depuis l'explorateur Windows : => Supprime le dossier suivant (en gras) : C:\Program Files\MyWebSearch => Supprime les fichier suivant, si ils existent encore (en gras) : - C:\Documents and Settings\JEAN-S~1 (ton nom utilisateur)\My Documents\AirportTycoon3Setup.exe - C:\Documents and Settings\JEAN-S~1 (ton nom utilisateur)\Desktop\blackhawkstriker2am.exe => Vide la corbeille Etape 8 : Scan avec Ewido On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis : Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Etape 9 : Nettoyage des fichiers temporaires + registre On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires : => Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus => Jv16 powertools (pour le nettoyage du registre uniquement) - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) Etape 10 : Redémarrage en mode normal - Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5) Etape 11 : Nouveau rapport Hijackthis Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse ====================================================================== Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse : - Le rapport d'Ewido - Le nouveau rapport Hijackthis (généré en mode normal) A+

Re, LOL ... c'est toi qui voit Ton rapport montre des signes d'infections, je prépare une procédure, réponse dans 20 min environ A+

Re, Ok pour la défragmentation Bon sinon, il semblerait que ton programme Foldersize provioque des ralentissements chez un bon nombre de personne... essaye de le désinstaller pour voir Sinon, tu peux encore fixer ces lignes si tu veux : O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe => driver de ta carte graphique au démarrage, permettant de faire quelques réglages. Pas utile pour faire fonctionner correctement ta carte graphique O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe => driver de ta souris sans fil au démarrage, sûrement pas utile pour la faire fonctionner. A tester Et tu peux encore désactiver quelques services inutiles : Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: InstallDriver Table Manager => service pas nécessaire pour faire fonctionner les installeurs "installshield" Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Fais la même chose avec ce service : NVIDIA Driver Helper Service => service pas nécessaire pour faire fonctionner ta carte graphique A+

Re, Si Kasperksy ne détecte rien, je pense qu'on peut considérer ton système comme propre ... Le vrai ctfmon.exe (celui qui est légitime) est situé dans le répertoire C:\WINDOWS\system32 Il créé une valeur "ctfmon.exe" dans la clé [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Ce qui est ton cas, donc rassure-toi N'aie pas peur de fixer la ligne. Hijackthis intègre en effet une fonction de sauvegarde. Pour restaurer la ligne, il suffit de lancer Hijackthis et d'aller dans View the list of backups. Ensuite, tu coches la ligne que tu veux restaurer et tu cliques sur Restore (à droite) Donc pas la peine de créer un point de restauration, c'est pas merveilleux ! Sinon, pour ton problème de lenteur: - Fais-tu des défragmentations régulières ? - Est-ce que ça fait longtemps que tu as ce problème, est-ce survenu à la suite de l'installation d'une mise à jour Windows / d'un logiciel ? - Nettoies-tu ton système régulièrement (fichiers temporaires + registre) ? - Quelle est ta configuration matérielle ? On pourra essayer d'optimiser ton rapport Hijackthis (donc ton système) si aucune des réponses à ces questions n'est "concluante". A+

Re, Qu'as tu fait pour que F-secure "parte" ? Je n'ai pas vraiment rédigé pour enlever F-secure en particulier, mais surtout pour désinfecter ton système. Un pc vérolé peut non seulement nuire à l'utilisateur (collecte d'infos personnelles, lenteur du système etc) mais aussi à beaucoup de gens sur Internet (ton pc peut servir à envoyer des mails infectieux ou spams). Donc je te conseille vivement de suivre la procédure, ton pc s'en portera mieux Je te rassure sur un point, la procédure n'est pas spécialement compliquée, tu dois juste suivre à la lettre les différentes instructions... Je ne peux malheureusement pas t'aider sur ce point... c'est peut-être dû aux infections présentes sur ton système, va savoir ! A+

Bonjour synchronn, Ton rapport ne montre pas d'infections, mais Hijackthis ne détecte pas tout. En effet, les problèmes que tu déplores montrent que ton système est probablement infecté. Donc, pour commencer, commence par appliquer la procédure de pré-nettoyage => http://forum.zebulon.fr/index.php?showtopic=83986 Remarques : - Tu n'as aucun antivirus d'installé sur ton ordinateur, je te conseille de garder Antivir (ne suis pas cette partie de la procédure : - désinstallation d'Antivir) - Une fois la procédure appliqué, pense à mettre dans ta prochaine réponse : -- Le nouveau rapport Hijackthis -- Le rapport du scan Antivir A+

Re, Ok... tant mieux Mais non ! Tu peux carrément "arrêter la protection résidente"... (tu risques rien pour 20 min) , il existe en effet d'autres scans en lignes (que tu peux rajouter au scan panda si tu en as le temps) : - Kaspersky webscanner => http://webscanner.kaspersky.fr/ -- Pense à sauvegarder le rapport à la fin du scan -- Le tutorial si tu n'y arrives pas => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte) A+ A+

Salut Bob_ , Désolé... si seulement j'avais su Je préfère laisser continuer chercheur, il a déjà rédigé une procédure ... Donc melka29, suis les conseils avisés de chercheur. Tu peux lui faire confiance. Et ne soit pas "effrayé" par la longueur de la procédure , tu constateras qu'elle est rapide à appliquer. A+ et bonne continuation

Re, Pourquoi ? As-tu désinstallé Microsoft office ? Ca m'a pas l'air d'être le cas ... C'est tout à fait normal, car ce processus est associé à différents services (en "gros") Explication => http://www.generation-nt.com/astuces/lire/...cessus-svchost/ A+

Re, Dans ton cas, laisse ces entrées dans Hijackthis, car elles correspondent au support de langage de Microsoft, pour les langues à caractères "spéciaux" (le chinois par exemple) Dans ton cas, je pense que tu peux fixer la ligne correspondante => http://www.generation-nt.com/processus/alt...ut-services/11/ Java se lance de lui même si besoin. Cette ligne correspond à un bouton additionnel de Java, dans Internet Explorer. Tu peux la fixer sans problèmes. Bon... sinon, ton rapport est propre... Mais Hijackthis n'est pas suffisant, on va donc s'assurer que le système est propre, pas 2 scans différents : =============================================================== * Scan Av en ligne : Panda Activescan - Commence par désactiver le bouclier Web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien - Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html - Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin) - Réactive le bouclier Web d'avast * Scan anti-rootkit : Blacklight Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) : Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ======================================================== N'oublie pas de mettre dans ta prochaine réponse : - Le rapport de Panda (activescan.txt) - Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt) A+

Bonjour melka29 et bienvenue sur le forum sécurité de zéb', Le Log Hijackthis est incomplet... fais " Ctrl + A" pour sélectionner l'intégralité du rapport, puis clic droit > copier Tu peux commencer par faire ceci, pour rechercher les infections liées à Spysherrif - entre autres - : Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/proc...processutil.htm A+

Bonjour oarsman, Pourrais tu mettre un rapport Hijackthis généré en mode normal, stp ? A+

Bonjour jarod, et bienvenue sur le forum sécurité de zébulon, Comme le rapport de Kaspersky indique de multiples infections, je t'invite à appliquer la procédure de pré-nettoyage, qui te débarassera sûrement en partie des infections => http://forum.zebulon.fr/index.php?showtopic=83986 A+ PS: En voyant le rapport Kasperky, on peut constater que l'utilisation de logiciel de jeux de poker en ligne, ainsi que celle de cracks n'est pas étrangère à tes différentes infections...

Bonjour beru11, Juste une question, pour commencer : As-tu d'autres pc connectés au réseau ? (je suppose que tu es dans un réseau) Si oui, retire les ordinateurs non infectés du réseau pour éviter la propagation des infections. Et même si - pour l'instant - aucun autre pc n'a des symptômes d'infection, il faudra quand même les contrôler... Avant de désinfecter "directement" , il te faut appliquer la procédure de pré-nettoyage sur chacun des pc infectés => http://forum.zebulon.fr/index.php?showtopic=83986 (avec 3 rapports Hijackthis à la clé, car les différents systèmes se sont pas forcément au même stade d'infection) Ca va être assez long à faire si tu es tout seul, mieux vaut 2 autres personnes pour t'aider A+ et surtout bonne chance