Mark

C'est une bonne nouvelle ; merci pour les rapports Look2Me n'existait plus. Je laisse Charly poursuivre, car maintenant vous aurez peut-être du succès avec les manips, avec SeDebugPrivilege qui a été restauré par Look2Me-Destroyer. Bonne continuation

Bonsoir serp_ico, et à toutes/tous ; On va te virer ces deux fichiers récalcitrants Pour le parefeu, oui tu devrais en installer un plus efficace que celui de Windows. FireFox est plus sécuritaire qu'IE Ok, allons-y : Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en bleu/gras ci-bas : C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.inf C:\WINDOWS\DOWNLOADED PROGRAM FILES\activex.ocx Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. ======================================== Après le démarrage, repasse un scan chez Panda, et colle le rapport ici s.t.p. Edit : oui c'est normal d'avoir ces fichiers dans Downloaded Program Files.. @+

Salut Dave36, et bonjour tout le monde ; Ok, on va te passer un autre outil qui cible Look2Me, et espérons qu'il tournera celui-là : Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter. Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau. Ferme toutes les fenêtres actives avant de passer à l'étape suivante. Double-clique Look2Me-Destroyer.exe afin de lancer l'outil. Coche Run this program as a task Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal. Lorsque le scan termine, clique sur le bouton Remove L2M Un message Done Scanning apparaîtra, clique OK. Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK. Ton PC va maintenant s'éteindre. Démarre ton PC normalement. Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. *Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau. Si ça ne tourne pas, on pourra essayer autre chose

Bonsoir tout le monde ; Permettez-moi cette petite intrusion. durandale : tout va bien, mais tu dois prendre le temps de respirer bien tranquillement... On te propose des manips pointues, et tu dois prendre bien le temps de lire, et d'appliquer soigneusement. Charles t'a demandé de passer un petit batch afin de localiser une infection LOP ; tu dois le faire s.t.p. (post #42) >> juste par précaution. @+ Edit : tu vois des fichiers Thumbs.db et Desktop.ini ?? Normal... ce sont des fichiers système que tu ne pouvais pas voir avant... Ils sont légitimes !!! On te fera recacher les fichiers système à la toute fin, si nécessaire..

Salut à tous/toutes ; Désolé Regis... de te faire bosser !! Je croyais que le .exe avait déjà été viré !! (je devrai lire un peu mieux la prochaine fois..). Bruce : ouiap, ça prend le chemin complet. Il y est par contre, mais les fichiers sont affichés en gras, ce qui peut soulever un 'tite confusion. Je reprends donc la liste à copier, pour pioukaya : C:\Windows\System32\nplxmiea.exe C:\Windows\System32\nplxmiea.dat C:\Windows\System32\nplxmiea_nav.dat C:\Windows\System32\nplxmiea_navps.dat

Bonjour Bruce, Regis, pioukaya ; Juste de passage, et j'aime tellement cette infection , donc je ne peux m'empêcher de partager un p'tit truc avec vous : Ces fichiers .dat qui accompagnent les infections Egdaccess sont dangeureux et coriaces seulement lorsque leur grand frère .exe est présent. Quand le .exe est viré, ils ne font plus rien, et on peut les supprimer à la régulière, en mode Normal. Dans ce cas-ci, le grand frère était C:\Windows\System32\nplxmiea.exe. On retrouvera toujours ces trois fichiers qui accompagnent : C:\Windows\System32\nplxmiea.dat C:\Windows\System32\nplxmiea_nav.dat C:\Windows\System32\nplxmiea_navps.dat **À noter que nplxmiea est tout à fait aléatoire, donc varie d'un PC à l'autre. Et Panda ActiveScan ne les voit pas tous en même temps, étrangement... Il nous en montre un (par exemple nplxmiea_nav.dat) - on le vire - il nous en montrera un autre au prochain scan (par exemple nplxmiea_navps.dat) Un scan chez Kaspersky les montre tous, habituellement. Moi, je les vire avec KillBox d'entrée de jeu - avec le .exe qui est le vrai méchant (pas besoin de voir les .dat, car je sais qu'ils sont là..). Je crois que pioukaya n'a vu que nplxmiea_nav simplement à cause d'une 'tite option d'affichage des dossiers ; "Masquer les extensions des fichiers dont le type est connu". Beau travail tout le monde

Bonjour tout le monde ActiveScan de Panda est une excellente idée ! SmitfraudFix aussi ! Je crois que le Tea Timer de SpyBot nous empêche de tout voir, mais ces deux scans vont nous éclairer. Bonne continuation

Désolé du petit délai, et merci pour ces rapports Ton dernier rapport HijackThis! semble provenir du mode Sans Échec, mais tout semble propre. Peux-tu nous poster un nouveau rapport HijackThis! fait en Normal, et nous dire si tu as toujours des dysfonctionnements avec le PC ? Merci

Regis56, et bonjour pioukaya ; Si vous me permettez.. Bon, cette infection aime jouer à cache-cache.. Deux lignes qui étaient présentes dans le premier rapport n'y sont plus (toutes deux liées à NaviPromo / Egdaccess) : O4 - HKLM\..\Run: [nplxmiea] c:\windows\system32\nplxmiea.exe nplxmiea O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe Il y a des développements dans la méthode, alors voici la prochaine étape : ================================================= Lance Ewido, mets-le à jour, puis ferme-le pour l'instant. Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. Toujours en Sans Échec, lance un scan complet avec Ewido et laisse-le tout nettoyer. Sauvegarde son rapport sur le Bureau. Redémarre en mode Normal. Poste un nouveau rapport HijackThis! ainsi que le rapport d'Ewido dans ta prochaine réponse. Bon courage, et @+

Bonsoir vous deux Tornado : pourrais-tu faire analyser ce .dll chez VirusTotal ET chez Jotti s'il te plaît ? Ça me semble tout nouveau... et ça ne correspond pas tout à fait aux variantes usuelles de Haxdoor (celles-là ont 4 lettres avant le 32 ou le 16, et celle-ci en compte 6). Merci !

Salut Tesgaz, et salut Did71 ; Je n'y comprends rien... Je viens de tout lire, et je ne pige pas du tout. Si un Modo avait supprimé des postes, nous aurions eu droit à quelques commentaires dans la discussion !! Did71, je crois sincèrement qu'il y a eu bug technique, soit de ton côté, soit avec le soft du forum... J'en avise ipl tout de suite. Tes contributions sont très importantes ici, et moi le premier ne voudrais pas te voir quitter pour, je suppose, une défaillance quelconque. En espérant que tout cela se règle rapidement, je te dis à bientôt confrère

Coucou vous deux Effectivement FeIZocE, tu dois refaire la manip avec FixWareout, et assure-toi de supprimer la version que tu utilisais auparavant, et télécharge l'outil à nouveau. On verra... Si ça semble pas marcher, faudra scanner avec BlackLight pour identifier où se cache le rootkit.. @+

Salut à vous deux Je suis loin d'être doué en hardware, mais je constate ceci : Ta carte mère date de 6 ans, comme la mienne Moi, j'ai un Athlon 500 Mhz sur une Asus K7M, qui était "la carte" du moment, pour les processeurs AMD. Ma carte ne supporte pas les barettes de 256 M, à moins qu'elles ne soient à double-face (dual sided/registered), et accompagnées d'un update du BIOS. Tu n'as sûrement pas de mémoire DDR, car ces cartes n'acceptent que la SDRAM PC-100 (la technologie DDR n'existait pas à cette époque !). Pourquoi ta carte ne reconnaît-elle pas la barette double-face de 128 M ? Parce qu'elle est clockée à 133 Mhz au lieu de 100 Mhz et que ta carte n'aime pas ??? Je sais pas... mais je soupçonne qu'il te faudra flasher le BIOS avec une MAJ (manip très risquée pour ces cartes...). Essaie plutôt avec une troisième barette "simple" de 128.. @+

Salut did71, et merci pour ton intervention Bonsoir nuage orangé, et à toutes/tous ; Ça va effectivement prendre Look2Me-Destroyer, car L2MFix refuse de tourner avec l'option #2.. Ça arrive avec de multiples infections, quoique je pensais avoir fait suffisamment le ménage avant de le lancer !! Juste une petite note au sujet de Look2Me-Destroyer : au lieu des 10 secondes avant de se relancer, l'outil peut mettre jusqu'à 1 minute, donc soit patient (j'avais oublié d'en avertir les amis conseillers... ). @+

Resalut nuage orangé Ok. merci pour ces rapports ; maintenant, au boulot !! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. 1) Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. On le passera plus tard ! 2) Clique sur le bouton "Démarrer" >> "Exécuter..." et tape ceci dans la boîte : services.msc et valide avec "Ok". Dans la liste de Services, repère chacun des services suivants : Performance True Type Font (PerfFont) sdktemp Win32Sr et fais ceci (avec chacun) : - Clique sur "Arrêter" - Dans la case "Type de démarrage", choisis "Désactivé" - Lorsque terminé, ferme toutes ces fenêtres. Ne t'en fais pas si un service refuse d'être stoppé ou désactivé. 3) Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en bleu/gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") : C:\WINDOWS\win32ssr.exe C:\WINDOWS\System32\wlib32.dll C:\WINDOWS\System32\perfont.exe C:\WINDOWS\axdcfasb.exe Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. **Dès le redémarrage, prière d'effectuer ceci afin de démarrer en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. 4) Du mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O4 - HKLM\..\Run: [wlib32] rundll32.exe C:\WINDOWS\System32\wlib32.dll,start O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing) O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe (file missing) O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe Clique sur "Fix checked", puis ferme HijackThis!. 4) Toujours en Sans Échec : relance Ewido et clique sur Scanner puis sur Scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarre le PC en mode Normal. 6) Du mode Normal : Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". 7) Poste (Copie/colle) le rapport de L2MFix (Option #2), ainsi que le rapport d'Ewido et un nouveau rapport HijackThis! tout frais dans ta prochaine réponse. Ça peut sembler énorme comme travail , mais ça va bien aller, en suivant les étapes. Bon courage, on y est presque.. Il nous restera Vundo

desafinado a également posté sur CCM, et reçoit de l'aide là-bas. Nul besoin d'aider en double, donc cette discussion-ci est close.

Bonsoir vous deux ...et à nuage orangé également Moi, j'avais repéré L2M avant vous.... Comment vous demandez ? À cause de ceci : Cette redirection vers a-d-a-w-a-r-e.com est classique de Look2Me (et typique !!). Bonne continuation !

Bonjour tout le monde ; Sanchou, je me permets de poster ces quelques commentaires, afin de conclure le tout : - Certaines bestioles, comme ce virus d'ailleurs, sont complexes et parfois difficiles à éradiquer. - Les conseillers sur les forums sont toutes/tous des bénévoles, qui aident les étrangers dans leur temps libres. - Les outils sont parfois puissants, les manips sont souvent pointues. - Il doit s'établir un lien de confiance entre visiteur et conseiller. - La séquence des interventions est souvent "visualisée" et planifiée par le conseiller. - Toute dérogation à cette suite logique entraîne la confusion. - La confusion peut faire échouer un fix, voir même causer des dégâts sur la bécane.. - Le temps perdu à essayer d'analyser les distorsions n'est pas disponible aux autres visiteurs infectés. J'ai également pris du temps pour analyser tes rapports, hier, quoique beaucoup moins que mes ami(e)s Philae et Charly. Je termine donc avec une dernière observation, car d'autres internautes risquent de consulter cette discussion, à la recherche de pistes et d'astuces pour déjouer la bête : Si ta bécane est en réseau, ben le virus se propage par des failles dans Windows, à travers ce même réseau, et survivra, à moins de le coincer... Si tel est ton cas (réseauté), alors tu vois mettre fin au partage du disque principal, puis repasser les antivirus (Poste de travail >> clic-droit sur lecteur C: >> "Propriétés" >> onglet "Partage" >> Désactive-le). Si tu formates, n'oublie pas de te déconnecter de l'internet avant d'installer Windows ; active le parefeu avant de te reconnecter, pour éviter l'infection par vers tels Blaster/Sasser/Welchia. Bonne route

Bonjour tout le monde ; C'est plutôt rare, mais L2MFix a rencontré des difficultés avec l'option #2, donc l'infection persiste. Comval, je te suggère donc un deuxième outil : Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter. Télécharge Look2Me-Destroyer.exe sur ton Bureau. Ferme toutes les fenêtres actives avant de passer à l'étape suivante. Double-clique Look2Me-Destroyer.exe afin de lancer l'outil. Coche Run this program as a task Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK Il se relancera après la minute, puis clique sur le bouton Scan for L2M ; les icônes de ton Bureau vont disparaître : c'est normal. Lorsque le scan termine, clique sur le bouton Remove L2M Un message Done Scanning apparaîtra, clique OK. Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer ; clique OK. Ton PC va maintenant s'éteindre. Démarre ton PC normalement. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. *Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau. @+

Notre ami reçoit de l'aide en double... sinon en triple ou plus... il pourra nous le dire : http://forum.pcastuces.com/sujet.asp?SUJET_ID=256614&Page=1 Je viens de poster là-bas, n'ayant pas remarqué le doublon... J'avertis Philae de ce pas..

Salut Tornado ; Comval, tu peux faire abstraction de ce post... Ok, pour le PS, je n'ai trouvé que ceci : http://www.freedownloadscenter.com/Best/smart-eject.html ...ça semble bien légitime, car aucun helper en qui j'ai confiance n'a fixé cette ligne.. @+

Salut Tornado Ça va faire du bien ce nettoyage !! Juste un petit commentaire au sujet de la commande sc : elle ne fonctionne que sous XP (pas 2000...), mais tu pouvais pas le savoir !! Quand tu l'utilses sous XP avec Command, tu dois faire faire ceci : sc stop cmdservice [valide] sc delete cmdservice [valide] Le sc stop remplace la technique manuelle avec services.msc >> Stopper et Désactiver. Utilise cmdservice plutôt que Command Service, car la commande ne reconnaît que ce qui apparaît entre paranthèses dans le log HJT Comval : les instructions de Tornado sont bonnes, sauf quelques petits changements à l'étape #2 que voici: 2/ Dans "démarrer" --> "exécuter" ---> tape " services.msc " (sans les guillemets) - Recherche le service Command Service (cmdService) - Double clique dessus, clique le bouton "Arrêter", puis dans "types de démarrage", sélectionne "désactivé" - Valide - Répète la manip avec service security centre (windows security centre) Maintenant, lance HijackThis! et clique "Open the Misc Tools section", puis sur le bouton "Delete an NT Service..." ; dans la nouvelle fenêtre, tape ceci dans la boîte : cmdservice et clique Ok. Ferme HijackThis!. 3/ Relance HijackThis!, et la suite...

Tornado, Pitcat, bonsoir comval, toutes et tous ; Juste une remarque au passage, car je ne serai pas en ligne beaucoup aujourd'hui : Tornado, si tu attaques ce log ; garde L2M pour la fin... fais un bon nettoyage avant (Service Command, HJT + suppressions de fichiers, et Ewido en sans échec..). Bonne continuation

Resalut Willtrade J'ai rarement vu un PC aussi infecté... La cause majeure est le manque de mise à jour du PC (Windows), donc le système d'exploitation est criblé de failles critiques. Certaines des infections présentes permettent à des individus de contrôler ton PC à distance, et toutes tes infos personnelles qui s'y trouvent sont vulnérables (mots de passe, # de carte de crédit, etc...). Je vois un (des) keyloggers, donc toutes tes frappes sont enregistrées et envoyées à un malfaiteur, sans que tu le saches. Je ne suis pas certain que nous pourrons tout nettoyer, mais on peut essayer... Imprime les instructions qui suivent, ou colle-les dans un fichier pour lecture en mode Sans Échec. ============================= 1) Télécharge ATF Cleaner par Atribune sur ton Bureau. Ne le lance pas tout de suite. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2) Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne lance pas le scan tout de suite. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3) Un autre outil spécial : Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ferme le programme pour l'instant. Étape 3: Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le sur ton Bureau. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 4) Toujours en mode Sans Échec (jusqu'à nouvel ordre..) : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 5) Relance Ewido et clique sur Scanner puis sur Scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Ferme le programme. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 6) Redémarre en mode Normal. Scan avec HijackThis!, et poste son nouveau rapport. Poste les rapports d'Ewido et d'eScan également. Bon succès..

Bonjour Willtrade, et bienvenu sur Zeb' Sécurité Le temps me manque pour répondre convenablement, mais je veux simplement laisser une petite note au sujet de ton log, car ce sera délicat comme désinfection. Vundo/Conhook en dernier, juste après Look2Me. Un bon ménage s'impose avant d'attaquer ces deux-là, sinon les outils spéciaux risquent de ramer ! Si personne ne répond d'ici quelques heures, je reviendrai poster les premières instructions. Bon courage, et @+ tard..