Mark

Bonsoir tout le monde ; Juste pour faire avancer ; il y a des fichiers détectés par SmitfraudFix à virer, alors voici : Prière d'imprimer ces instructions, ou de les coller dans un fichier du Bloc-Notes pour lecture en mode Sans Échec. 1) Télécharge ATF Cleaner par Atribune. Sauvegarde-le sur ton Bureau. On le lancera plus tard. 2) Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec). Choisis ton compte usuel. 3) Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 4) Du dossier SmitfraudFix, double cliquer sur smitfraudfix.cmd Sélectionner 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. 5) Redémarre en mode Normal et poster le rapport sur le forum, avec un nouveau log HijackThis! s'il te plait.

Très-très intéressant Cubitus !! Si on peut trouver cette clé de MailSkinner, ben on pourra l'ajouter au script de Metallica et plus de soucis ! L'autre est aléatoire par contre, et dans notre cas c'était nplxmiea notre fameux processus caché. Voyons voir pour MailSkinner...

Bonsoir kimy ; C'est bien étrange tout ça, en effet. Allons voir dans les réglages d'Internet Explorer. Ouvre un fichier du Bloc-Notes, puis copie/colle tout le texte contenu à l'intérieur de la boîte Code ci-bas (sans le mot Code) : cd %systemdrive%\ If not exist lsafiles MkDir lsafiles regedit /a /e lsafiles\1.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler regedit /a /e lsafiles\2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform" regedit /a /e lsafiles\3.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies regedit /a /e lsafiles\4.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies regedit /a /e lsafiles\5.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" regedit /e /a lsafiles\6.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main" reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer" > lsafiles\7.txt Copy lsafiles\*.txt = %systemdrive%\lsa.txt rmdir /s /q lsafiles Notepad %systemdrive%\lsa.txt del /q %systemdrive%\lsa.txt Clique sur le menu "Fichier" >> "Enregister sous.." ; - Choisis le Bureau comme destination - Dans la boîte Nom du fichier :, inscris inspect.bat - Dans la boîte Type :, choisis "Tous les fichiers" - Clique "Enregistrer" Du Bureau, double-clique inspect.bat Un fichier texte apparaîtra à l'écran (lsa.txt) : colle tout son contenu ici, dans ta prochaine réponse. @+

Bonsoir Laurent, et désolé du petit délai ; Ça me semble tout propre maintenant. As-tu toujours des soucis ? Je posterai des conseils de prévention et de sécurisation dans mon prochain message, si tout va bien

Excellent Ok, petit ménage final, et ensuite je te dirai quels progs tu peux virer Je vois que tu as une extension MyWebSearch d'installée ; pas extrêmement nuisible ou méchante, mais considérée comme potentiellement risquée. Je te suggère donc de le désinstaller ; va dans le Panneau de Config >> "Ajout/Suppression de programmes" et supprime toute référence à MyWebSearch si trouvées. Pour terminer, recherche et supprime ceci (si présent) : C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll << fichier C:\Program Files\MSN Messenger\riched20.dll << fichier (attention de ne pas supprimer le riched20.dll situé dans le répertoire C:\Windows\System32 qui est légitime) Ok, maintenant on supprime ce qui n'est plus nécessaire : Killbox.exe (l'outil) C:\BFU << le dossier au complet C:\!KillBox << le dossier blbeta.exe (l'outil BlackLight + son rapport) Tu peux conserver Ewido, qui est l'un des meilleurs scanneurs. Après les 14 jours d'essai, tu conserves le scanneur ; la protection en temps réel et les MAJs automatiques seront désactivées. Tu n'as qu'à faire la MAJ manuellement avant de scanner Maintenant, nettoyons la Corbeille et les fichiers temporaires avec un autre outil (que tu peux conserver afin de nettoyer régulièrement ces fichiers inutiles..) : Télécharge ATF Cleaner par Atribune. Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. ============================================== Dis-moi comment tourne la bécane, et puis je posterai des conseils de sécurisation. @+

Bonjour maykimaykedelille ; ça semble bon maintenant ! Bravo à vous deux Avant de crier victoire, je vais lui demander de passer un scan en ligne chez Panda. Pour ce qui est de comprendre les manips que lui ai proposées, ben ce n'est pas simple !! Disons que cette infection installe un numéroteur (dialer) et te fait subir une multitude de popups en tout genre (XXX, Casinos, etc..). Ça peut sembler banal un p'tit numéroteur, mais celui-ci est spécial ; plusieurs fichiers cachés et protégés l'entourent, et la base de registre en est farcie de références. HijackThis! à lui seul n'y peu rien, et les autres scanneurs conventionnels non plus. Seul Internet Explorer est pris en otage, donc ceux qui utilisent un autre navigateur (tels FireFox et Opera) ne sont pas gênés. Pour ce qui est de la "source" de cette infection, ben je ne sais pas exactement, mais le petit misérable prog MailSkinner est souvent au centre de tout ça. Ok, allons-y pour le scan en ligne. Allez ici (tu dois utiliser Internet Explorer pour faire ce scan) : http://www.pandasoftware.fr/Activescan/Activescan.html - Clique sur "Analysez votre PC" - Un contrôle ActiveX doit être installé sur le PC ainsi que des signatures virales : accepte tout - On y demande quelques infos (email, origine, etc..) : réponds à tout - Faire un scan des disques locaux - Sauvegarder le rapport généré - Redémarre lorsque le scan est terminé Colle le rapport de Panda ici, dans ta prochaine réponse s'il te plaît. @+

Le soucieux ; faisant de petites recherches, je me suis aperçu que tu as posté sur plusieurs forums pour ton problème (ici, Télécharger, Futura, ABC...). Je me demandais où était passée ton infection Egdaccess, mais là je comprends... tu fais de multiples manips suggérées par de multiples bénévoles qui ne savent pas ce que tu fais au PC... Désolé, mais moi je suis incapable de bosser dans de telles conditions... J'ai l'impression de perdre mon temps, en plus de ne rien comprendre aux changements qui s'affichent dans tes logs. C'est dangeureux ce que tu fais là, car tu peux causer des dégâts à ta bécane. Libre aux autres conseillers de poursuivre s'ils/elles le veulent, mais moi ça me sera impossible. Bonne route.

Bravo maykimaykedelille ; la manip a fonctionné cette fois-ci Et là Egdaccess nous réservait une autre petite surprise... un second processus caché !! HAHA... j'adore cette infection.. Ok donc, on frappe à nouveau ! Courage, on va y arriver, car nous sommes plus tenaces qu'elle ================================================================ Cette manip sera très similaire à celle que je t'ai faite faire au début ; seuls les fichiers sont différents. Allons-y; 1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\windows\system32\sjmukogv.exe C:\WINDOWS\system32\sjmukogv.dat C:\WINDOWS\system32\sjmukogv_nav.dat C:\WINDOWS\system32\sjmukogv_navps.dat C:\WINDOWS\system32\msclock32.dll Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. 2) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..). Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne : O4 - HKLM\..\Run: [sjmukogv] c:\windows\system32\ sjmukogv.exe sjmukogv Clique sur "Fix checked". Ferme HijackThis! (demeure en mode Sans Échec). 3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - À droite de la boîte "Scriptfile to execute", clique sur le petit dossier jaune ; - Tu devrais maintenant voir le fichier EGDACCESS.bfu dans la fenêtre ; double-clique dessus - Le fichier script devrait maintenant apparaître dans la boîte "Scriptfile to execute" comme ceci : C:\BFU\EGDACCESS.bfu - Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. 4) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport. 5) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse. Ça devrait être la fin pour cette bestiole

Bonjour ! Pas faciles comme manips n'est-ce pas ? Ok, je constate que le BFU n'a pas fait son travail, car une entrée qui devait disparaître est toujours là. Pas grave, on va rectifier le tir. Je veux que tu regardes dans le dossier C:\BFU pour voir si tu as bien ces deux fichiers : BFU.exe EGDACCESS.bfu Si tu as ce fichier : EGDACCESS.bfu.txt (<< avec le .txt à la fin..) ..alors le fix ne fonctionnera pas. Si c'est le cas, je veux que tu renommes ce fichier en supprimant le .txt à la fin, et tu auras EGDACCESS.bfu Ok ; si tu avais bel et bien le fichier avec le .txt , je vais te refaire passer le BFU de cette façon : Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en sans échec. - Lance le BFU (double-clique BFU.exe) - À droite de la boîte "Scriptfile to execute", clique sur le petit dossier jaune ; - Tu devrais maintenant voir le fichier EGDACCESS.bfu dans la fenêtre ; double-clique dessus - Le fichier script devrait maintenant apparaître dans la boîte "Scriptfile to execute" comme ceci : C:\BFU\EGDACCESS.bfu - Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. Redémarre en mode Normal. Scan avec HijackThis! et poste son nouveau rapport. **Ne t'en fais pas si tu avais déjà bien exécuté le BFU auparavant ; dis-le moi et on va procéder autrement

Bonjour vous deux Je vois que Process.exe est détruit par un de tes progs de protection, mais lequel ?? Ce module est viral au bon fonctionnement de SmitfraudFix, et certains antivirus le bloque/supprime dès que l'outil est téléchargé, donc il ne peut pas être lancé. le soucieux : essaie ceci s.t.p. : Si tu as un antivirus d'installé depuis ton dernier rapport HijackThis!, tu devras le désactiver lors du téléchargement de SmitfraudFix ; fais de même avec la protection de Spy Sweeper (tu cliques sur l'icône de Spy Sweeper près de l'horloge et tu désactive >> "ShutDown" en version anglo..). Supprime le dossier Smitfraudfix.zip et l'autre dossier Smitfraudfix, et puis reprends le téléchargement à neuf, en suivant les directives de Regis. Passe l'outil avec l'option #1 et poste le rapport ici. Tu as également une infection parEgdaccess qu'on traitera plus tard. Bon succès

Excellent ! ; je vois exactement ce que je voulais voir - Merci Ok, tu devras exécuter quelques manips pour cette désinfection ; ça peut paraître long et complexe, mais en suivant bien les étapes, tu verras que ce n'est pas si horrible Allons-y : ================================================= 1) Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). On passera cet outil plus tard. 2) Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\windows\system32\vfznwbdrqx.exe C:\WINDOWS\system32\vfznwbdrqx.dat C:\WINDOWS\system32\vfznwbdrqx_nav.dat C:\WINDOWS\system32\vfznwbdrqx_navps.dat C:\WINDOWS\system32\msclock32.dll c:\program files\zango\zango.exe Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. 3) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..). Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : O4 - HKLM\..\Run: [zango] "c:\program files\zango\zango.exe" O4 - HKLM\..\Run: [vfznwbdrqx] c:\windows\system32\ vfznwbdrqx.exe vfznwbdrqx Clique sur "Fix checked". Ferme HijackThis! (demeure en mode Sans Échec). 4) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. 5) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport. 6) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse. Bon courage, et bon succès

Bonsoir ; RootkitRevealer n'a détecté que ces deux clés de registre ? Si oui, alors y a pas de rootkit. Et les deux clés que tu as supprimées étaient probablement légitimes (Daemon Tool de Alcohol..). Tu as fait des sauvegardes avant de supprimer ? Tu ne sembles plus avoir de progs d'Alcohol installés sur ton PC, alors les dégâts devraient être négligeables. ================================================== Un autre scan : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Poste le rapport de Spy Sweeper et un nouveau log HijackThis! dans ta prochaine réponse. @+

Salut maykimaykedelille ; C'est pas bien grave... L'installation de cet outil n'est pas des plus simples, alors on va faire autrement (y a plus d'une façon pour coincer cette bestiole.. ) ============================== Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Du mode Sans Échec, relance Ewido et clique sur Scanner puis sur Scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Redémarre en mode Normal. Je te fais passer un autre outil : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Prière de poster les rapports suivant dans ta prochaine réponse : 1) Ewido 2) BlackLight 3) Nouveau rapport HijackThis! Bon courage, et @+

Regis, et bonjour pioukaya ; Je ne fais jamais ça d'habitude... poster à la suite des conseils de sécurisation (très judicieux d'ailleurs !!), mais je me permets de le faire, étant donné que j'ai moi-même stoppé les recherches pour cette %#$ de clé de registre.. Elle semble effectivement être orpheline et pas du tout dangeureuse, mais une collègue nous a mis sur sa piste possiblement... Étant donné que Regis et autres conseillers ont investi beaucoup de temps à la traquer, je me devais de tenter une dernière manip. Ça ne coûte rien d'essayer, ce n'est pas grave si on ne la trouve pas.. Sans plus tarder, voici : Va dans le Panneau de Configuration >> "Ajout/Suppression de programmes", et désinstalle/supprime cette entrée si trouvée : nplxmiea Pas grave si elle n'y est pas, ou bien si elle refuse d'être supprimée. Prochaine étape : - Lance HijackThis! et clique sur le bouton "Open the Misc Tools section" - Clique sur "Open Uninstall Manager..." - Recherche nplxmiea dans la liste - Si trouvé, clique une fois dessus, puis clique sur le bouton "Delete this entry" (juste à droite) - Ferme HijackThis! et redémarre. Refais un scan chez Panda juste pour vérifier. Si la détection y est toujours, ce n'est absolument pas grave. Et prière de bien lire les conseils de Regis56 postés ci-haut. Merci

Coucou Regis Loorent : tu dois te calmer... On pourra pas t'aider si tu supprimes tout ce qui bouge, sans attendre nos conseils. Ces fichiers dans Application Data ne sont pas nécessairements méchants ; y a du Windows Installer et du MacroMedia là-dedans. Puis-je voir le rapport de RootKitRevealer ? En entier ? Merci..

Bonsoir youbisha ; Je ne connais pas beaucoup KAV, mais je ne constate rien d'anormal dans ces détections (cryptées). Ok, pour mshtml, j'aimerais que tu fasses ceci (sait-on jamais..) : -Clique sur "Démarrer" >> "Exécuter" et tape cmd (valide avec Ok) - Dans la fenêtre d'invite de commande, tape ceci : regsvr32 mshtml.dll - Valide avec [Entrée]. - Tape exit pour quitter l'invite. - Redémarre et regarde si ton calendrier de restauration est revenu. @+

Bonjour maykimaykedelille, et bienvenu sur Zeb' Sécurité Tu sembles être infecté(e) par Egdaccess, qui est plutôt caché. Y a Zango aussi. Cette désinfection va nécessiter quelques étapes, alors tu dois bien suivre les étapes et ça ira.. ============================================== Première étape : placer HijackThis! dans un répertoire dédié. Créé un nouveau dossier dans le répertoire "Program Files" et nomme-le Hijackthis >> ça te donnera C:\Program Files\Hijackthis Maintenant, extrait l'outil (hijackthis.exe) dans ce nouveau dossier. Fais un clic-droit dessus et envoie un raccourci vers le Bureau, si tu veux. Je vais maintenant te faire télécharger un petit prog spécial, qui permet à HijackThis! de bien voir si Egdaccess nous cache un processus. **Note : l'outil hijackthis.exe doit absolument se trouver dans son nouveau répertoire, sinon la prochaine manip ne fonctionnera pas ! Télécharge HijackThis! + Extra de ce lien : http://metallica.geekstogo.com/setuphjt.exe Sauvegarde le sur ton Bureau. Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT Double-clique sur le raccourci HJT and More, puis double-clique ht.bat Une fenêtre DOS apparaîtra; Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible. Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite). @+

Bonjour pioukaya Ok, la détection de Panda y est toujours. Je dois te dire que ce genre de détection ne signifie pas nécessairement qu'il y a infection active. Panda nous fait souvent le coup, et ne nous donne pas le chemin de clé. Selon mon expérience, on peut facilement ignorer ce genre de détection lorsqu'aucune infection active ne se présente ; il ne s'agit que d'une clé orpheline. La fonction "Erreurs" de CCleaner ne voit pas tout. Petite mise en garde : cette fonction "Erreurs" peut te causer des soucis au niveau de la BDR, alors ne la passe pas régulièrement !! Moi je te suggère de ne pas l'utiliser du tout !! Il n'y a aucun nettoyeur de BDR qui est reconnu comme 100% fiable et sécuritaire, alors faut pas jouer avec ces utilitaires. Ceci dit, je vais te demander de repasser Ewido en mode Sans Échec, et poste le rapport ici. Si Ewido ne voit plus rien, je te donne le "Tout Propre"

Bonjour Ok, on va te passer RootkitRevealer, effectivement, mais avant j'aimerais que tu fasses une petite recherche; Clique sur "Démarrer" >> "Rechercher" >> "Des fichers ou des dossiers"; clique "Tous les fichiers et tous les dossiers". Dans la boîte "Une partie ou l'ensemble du nom dse fichier", tape sysaupd.exe Au bas de la fenêtre, dans "Options avancées", coche les trois premières cases pour effectuer la recherche dans les dossiers systèmes, cachés, et les sous-dossiers. Fais la recherche. -Si le fichier existe, il devrait se trouver dans C:\Windows\System32 ou dans C:\Windows -Si repéré, fais-le analyser sur les deux sites suivants : http://virusscan.jotti.org/ http://www.virustotal.com/xhtml/index_en.html **Tu cliques sur "Parcourir" au haut ("Browse"), et puis tu le repères et tu le sélectionnes; clique ensuite sur "Send" (ou "Submit"). Colle les résultats dans un fichier texte (Bloc Notes). Conserve ce fichier. ================================== Télécharge Rootkit Revealer (le lien est tout au bas de cette page..) Extraire le contenu sur ton Bureau. Ouvre le dossier rootkitrevealer et double-clique rootkitrevealer.exe Clique le bouton Scan button (au bas à droite) Ça va prendre un certain temps (ne fais rien avec le PC durant le scan s.t.p. !!) Lorsque terminé, va au menu File >> Save. Sauvegarde le rapport sur le Bureau. Ouvre le fichier rootkitrevealer.txt du Bureau, puis copie/colle le contenu dans ta prochaine réponse. Colle le contenu du fichier de résultats chez Jotti et VirusTotal également. @+

Salut pioukaya, et bonjour à toutes/tous ; Je vais te refaire passer le BFU avec script Egdaccess.BFU, car il cible plusieurs clés de registre associées à cette infection ; avec un peu de chance, il éliminera ce que Panda voit : ===================================================== Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. ================================ Redémarre en mode Normal. Refais un scan chez Panda, puis poste son rapport, avec un tout nouveau log HijackThis! s.t.p. @+

Charly ! et bonjour youbisha ; J'aimerais juste vérifier un truc sur ta bécane s.t.p. ; j'ai déjà rencontré ce problème avec un autre visiteur, mais je ne crois pas que je l'avais résolu Mais je poursuis les recherches... Clique sur "Démarrer" >> "Rechercher" >> "Des fichers ou des dossiers" ; clique sur "Tous les fichiers et tous les dossiers". Dans la boîte "Une partie ou l'ensemble du nom de fichier", tape ce nom : mshtml.dll Au bas de la fenêtre de recherche, sous "Options avancées", coche les trois premières cases (Recherche dans les dossiers système, dans les fichiers et dossiers cachés, dans les sous-dossiers). Clique "Rechercher" Plusieurs instances de ce fichier vont apparaître, localisés dans plusieurs répertoires. Fais un clic-droit sur celui situé dans : C:\Windows\System32 ... et choisis "Propriétés" ; clique l'onglet "Version" et dis-moi ce qu'elle est (devrait ressembler à 6.0.2900.2802). Ensuite, regarde le dernier fichier listé, qui devrait se situé dans C:\WINDOWS\$hf_mig$\KB905915\SP2QFE ; Vérifie sa version également, et dis-moi si la MAJ KB905915 est bien présente (si non, donne-moi la dernière - plus récente listée s.t.p.) @+

Bon matin tout le monde ; Merci à Angélique qui a un sixième sens pour les bestioles Ok, ce services.exe n'est pas ton seul souci ; y a un autre truc obscure qui hante ton PC, et je crois savoir ce que c'est (un rootkit). Poste un tout nouveau log HijackThis! s'il te plaît, et on poursuivra. N'essaie pas de trouver cette bestiole toi-même, car elle est hyper cachée (si c'est bien elle..) @+

Ouaip... je crois tu avais réussi à les virer manuellement... Panda va nous le confirmer.

Tu as bien sélectionné les deux lignes complètes (chemins des fichiers), fais un clic-droit dessus et choisis "Copier" ?? Si oui, ça veut dire que les deux fichiers n'existent plus sur ta bécane..

Toutes les questions sont bonnes !! Je préfère de lojn les questions aux manips bouzillées Ok, la séquence peut porter à confusion, alors voici une mise au point : Lorsque tu "Copies" le texte en gras/bleu (les deux lignes..), tu dois simplement aller tout de suite au menu "File" de KillBox et cliquer sur "Paste from Clipboard" >> ceci fait un "Coller" instantané. Par contre, si tu tentes de pointer ta souris dans la boîte blanche ("Full path of file to delete") et de faire "Coller", ben l'outil ne verra que le premier fichier..(ou aucun, ma mémoire faisant défaut !! ). Après avoir choisis "Paste from Clipboard", tu peux vérifier si les fichiers ont bien été "collés" en cliquant sur la petite flèche qui se trouve au bout de la boîte : les deux devraient y être.. @+