Mark

Salut Regis56 , et bonjour bashman ; Tu peux effectivement suivre la procédure de Megataupe sans soucis. Par contre, j'aimerais que tu fasses ceci, avant, si possible (ou après si t'as déja fait la proc..) ; Messenger Plus! a été installé avec les sponsors, ce qui est très mauvais, donc tu es infecté par LOP Et tu as New.Net également... Va dans le Panneau de config >> "Ajout/Suppression de programmes", et désinstalle complètement Messenger Plus! ET son sponsor (tu pourras le réinstaller après désinfection, mais sans le Sponsor, sois rassuré..), et désintalle également New.Net Redémarre après ces désinstallations. Poste un nouveau rapport lorsque tu auras fait tout ça (y compris la proc de Mega..). Bon succès.

Eh ben...Kaspersky en trouve encore des méchants !! À l'attaque ; Lance KillBox en double-cliquant killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en gras ci-bas (sélectionne, clic-droit >> "Copier") : C:\WINDOWS\system32\eraseme_24203.exe C:\WINDOWS\system32\cdfkmosp.dll C:\WINDOWS\system32\ghgspjaw.dll C:\WINDOWS\system32\eraseme_60515.exe C:\WINDOWS\system32\ygngxkwl.dll C:\WINDOWS\system32\gwkvnnqo.dll C:\WINDOWS\system32\ldflmhyi.dll C:\WINDOWS\system32\ttmyomya.dll C:\WINDOWS\system32\bkqreiwf.dll C:\WINDOWS\system32\kcogjvqj.dll C:\WINDOWS\system32\cpyivvil.dll C:\WINDOWS\system32\ncqaufca.dll C:\WINDOWS\system32\gpogbhbu.dll C:\WINDOWS\nav32.exe.mwt C:\sjkkl.exe Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete". Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés ! Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. Après redémarrage, cherche et supprime ceci : C:\WINDOWS\system32\i << dossier ou fichier ? peut importe... Mets Ewido à jour, ferme le, puis redémarre en sans échec et passe un scan complet. Sauvegarde le rapport. Redémarre en Normal ; poste le rapport ici, avec un nouveau rapport HijackThis! également

ZUT !!! J'avais pas vu Charly... Fais le scan avec Kaspersky Liloute

Je dis un gros BRAVO !! à Charly ; les services ont disparu Ok Liloute : peux-tu demander à ta copine de mettre Ewido à jour, et de le fermer. Ensuite, qu'elle redémarre en sans échec et fasse un scan complet avec (et sauvegarde le rapport). Redémarrer en Normal, puis refaire un scan en ligne chez Panda (ActiveScan), tel que prescrit dans ce post ici. Poste les deux rapports dans ta prochaine réponse. Nous devrions pouvoir en finir maintenant...

Bonjour Sandra Ok, les services avec fichiers dans Temp ont disparu, donc il s'agissait probablement de services temporaires créés par RootkitRevealer - pas inquiétants ceux-là. Petite explication des fichiers .tmp que tu retrouves dans le dossier Temp : - Ce sont des fichiers créés par les applications qui tournent sur nos ordis en utilisation normale, et ne peuvent être "lus" normalement. Par exemple, mon logiciel d'imprimante s'en ouvre quelques uns à chaque fois que je démarre la bécane. - Lorsqu'on tente "d'ouvrir" ces fichiers, Windows ne peut pas, et nous demande de choisir un programme qui pourrait nous permettre de les lire. Une liste de programmes s'affiche, et tu peux choisir : Word, Bloc Notes, Adobe Reader (Acrobat), etc... Si tu as déjà choisi Acrobat et que tu as coché "Toujours utiliser ce programme pour ouvrir ce type de fichier", ben ce sera Adobe qui se lancera à chaque fois que tu tentes d'ouvrir un fichier .tmp, alors qu'il ne s'agit pas du tout d'un fichier Acrobat.. - Exemple : sur ma bécane, présentement, j'ai quelques fichiers .tmp bizarres, et voici un aperçu du contenu de l'un d'eux (~DF5E2E.tmp) quand je l'ouvre avec le Bloc Notes : ...illisible, mais c'est normal, car ce type de fichier n'est utilisé que par le système. J'ai lancé Adobe Reader en même temps, juste pour voir, et j'ai vu une bonne douzaine de fichiers temporaires se créer (dans le dossier Temp), puis disparaître rapidement dès que j'ai fermé Adobe Reader. Pour ce qui est de ces fichiers non lisibles, et ceux qui apparaîssent et disparaîssent rapidement, je crois que ce sont des fichiers temporaires "normaux". Si tu veux valider mon hypothèse, alors va regarder dans le dossier Temp, mais ferme tous les programmes en cours, et déconnecte-toi de l'internet ; il ne devrait y avoir aucune activité. Même chose quand tu scannes chez Trend ou avec RootkitRevealer : ferme tout et n'utilise aucun programme durant les scans, sinon les rapports seront brouillés. Comme dernière internvention de ma part, je vais te désactiver ces services qui n'affichent pas de fichiers. Je dois filer pour quelques heures, donc suite très bientôt. @ + tard !

Ok... Tu ne vois pas les fameux fichiers dans le dossier Temp ; as-tu bien modifié les options d'affichage tel que je te l'avais prescrit ? Je vais donc te redemander un nouveau rapport HijackThis!, car je veux constater si les services sont toujours présents, s'ils ont changé de noms, etc... Merci. Je vais faire dodo, et serai de retour dans 6-7 heures environ. J'aimerais bien pouvoir te prescrire un petit 8 heures de sommeil également... Edit : Double Click est un générateur de pubs bien connu, qui est inclus sur bien des pages web. Plutôt énervant, mais pas méchant..

Wow... Un grand merci à Charly, qui s'occupe très bien de toi alors que j'ai très peu de temps pour être en ligne ces jours-ci... Quelles belles trouvailles... et ça sent les changements de permissions sur ces clés C'est juste un feeling, et on verra après le passage du regfix si elles veulent bien disparaître.

Bonjour Sandra ; je commençais à m'inquiéter ! Bon ok ; ces fichiers "Acrobat", ben je ne peux commenter à distance (sans les voir). Ces fichiers "temp", par contre, m'agacent un peu. Je veux les faire analyser par un collègue, si tu permets. Voici comment : Retourne dans ce dossier via l'Explorateur Windows : C:\Documents and Settings\sandra\Local Settings\Temp << Pour chacun des fichiers suivant : C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe ...tu fais un clic-droit dessus, et choisis "Envoyer vers" >> "Dossier compressé" Ceci va créer 7 nouveaux fichiers "zippés" (compressés) dans le même dossier "Temp", qui auront l'apparence d'un dossier avec fermeture éclair, portant le même nom que le fichier original, mais avec l'extension .zip au lieu de .exe. Maintenant, lance ton programme de courrier, et envoie ces fichiers .zip (en pièces jointes) à l'adresse que je te fournis par messagerie ; - Comme titre de message : Fichiers de Sandra - Pas nécessaire d'écrire quoique ce soit dans le message, mais colle le lien de ce topic, que voici : http://forum.zebulon.fr/index.php?showtopic=86316&st=0 Je posterai ici dès que j'aurai les résultats d'analyse. Il se peut que ces fichiers (services) aient été créés par RootkitRevealer, ce qui serait ok ; mais il vaut mieux vérifier, car s'il ne s'agit pas de SysInternals, nous pourrions avoir une piste. Merci, et à bientôt

Beau travail Bak Quelques restants, et c'est tout ! Recherche et supprime ces fichiers : C:\WINDOWS\country.exe C:\WINDOWS\kl.exe C:\WINDOWS\tool2.exe Si tu ne les vois pas, alors modifie ces options afin de bien voir les fichiers cachés : - Lance l'Explorateur Windows (clic-droit sur "Démarrer" >> "Explorer") - Clique le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" - Coche "Afficher le contenu des dossiers système" - Active "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique Ok Le reste est propre. =========================== Désactive, puis réactive ta Restauration Système selon ces instructions : http://www.libellules.ch/desactiver_restauration.php A présent, quelques conseils de sécurité : -Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release ) - pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut). - une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert) - ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales) - une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système) - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation) - scan hebdomadaire antispyware Pour en savoir plus, consulte la page de ipl_001 http://gerard.melone.free.fr/IT/IT-AM0.html Tu dois également installer les outils suivants: -=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe: -Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/ -Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE! : -=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux) Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg: les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! ) https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD -=> Un vrai pare-feu (pas le joujou offert avec XP) -Kerio -Zone Alarm -Sygate Personal Firewall Free tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252 -=> SpywareBlaster: http://www.javacoolsoftware.com/downloads.html Son tuto: http://www.ordi-netfr.org/tutorialspywareblaster.html -=> Ad-awareSE http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm -=> SpyBot-Search & Destroy http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php -=> a² free (anti-trojans) - Téléchargement : http://www.emsisoft.net/fr/software/free/ Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel! -=> ZebProtect http://www.zebulon.fr/articles/zebprotect.php http://telechargement.zebulon.fr/123.html Heureux d'avoir pu t'aider, et bon surf

Bonsoir Paulo, bonsoir tout le monde ; Je suggère une petite pause dans vos recherches de Kazaa, afin d'adresser l'infection Instant Access qui colle. Un outil vient d'être mis à jour pour p2esocks_1048.dll, alors le voici : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger InstantAccess.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : InstantAccess.bfu et BFU.exe (très important). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous Scriptline to execute copie/colle cette ligne : c:\bfu\InstantAccess.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. Redémarre ton PC. Scan avec HijackThis! et poste le nouveau rapport dans ta prochaine réponse

Charly à l'oeil vif !!! Rapport de l'option #1 : C:\WINNT\SYSTEM32\ Ça...^^^^, c'est Windows 2000 Rapport de l'option #2 : C:\WINDOWS\system32 Ça...^^^^, c'est Windows XP

Bonsoir vous deux ; je vois que ça bosse fort par ici KillBox est effectivement très efficace, et très utile pour virer ce dll de SpyFalcon. Grinler vient de modifier sa manip un brin, donc voici la suite pour toi, Bak : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau. Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem). Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau"). Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite. Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ; ..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau. Lance le fichier Fixsf.reg (double-clique), et accepte la fusion. - Redémarre en Sans Échec. - Assure-toi que ce fichier et dossier ont bien été supprimés : C :\Windows\System32\dxmpp.dll << fichier C:\Program Files\SpyFalcon << dossier - Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED: O4 - HKLM\..\Run: [spyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h Ferme HijackThis! - Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre. Attends que l'outil termine, ainsi que "Disk cleanup". Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt) Lance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent. Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ; - Clique sur Analysez votre PC - Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...) - Choisis le scan des "Disques locaux" - Sauvegarde le rapport généré sur ton Bureau Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse.

Bon Samedi Ça me semble tout propre maintenant ; as-tu des dysfonctionnements avec la bécane ?

Cé Ok Liloute, on regardera ton rapport Ewido Tornado ; voici les signes de LOP dans un rapport HijackThis! : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uppkybxxwfgjawspmkph.com/0NH/48...gx3ecWZnZ2f.cgi Ligne R1 avec URL très long et bizarre...(aléatoires) ====================== O4 - HKLM\..\Run: [exit inter bind bash] C:\Documents and Settings\All Users\Application Data\The01exitinter\AXISCAKE.exe O4 - HKCU\..\Run: [Rectfast] C:\DOCUME~1\DERYCK~1\APPLIC~1\ERRORM~1\drv start.exe Une, ou quelques lignes O4 avec noms étranges, et sous dossiers et fichiers vraiment bizarres situés dans "\Application Data\". Les noms de clés, de sous dossiers et de fichiers sont tous aléatoires, donc une recherche Google ne donnera généralement aucun résultat. ====================== Messenger Plus! est généralement installé, mais pas toujours... car LOP peut être chopé autrement. Si tu vois Messenger Plus! sans la R1 et sans la (les) O4, ben le sponsor n'a pas été installé, donc propre. Si le PC infecté a eu droit à un coup d'anti-spyware (SpyBot, Ad-Aware, MSAS, Ewido, etc...), alors LOP s'incruste et la désinstallation de Messenger Plus! ne suffira pas à éradiquer LOP. Voilà un bref aperçu de ce qu'est la peste LOP...

Ok, l'infection Look2Me semble neutralisée ! Pourrais-tu poster un nouveau rapport HijackThis! s'il te plaît ? Merci..

1) Non 2) Oui Tu peux passer Ewido, par précaution (tu connais la routine maintenant !)

Salut Liloute Cette ligne est tout à fait légitime, lorsque Messenger Plus! est installé. Tu n'avais pas le sponsor au tout début, donc fausse alarme. Tout est propre (pas de LOP...).

Bonjour Tornado, bonjour Bak, bonjour à toutes/tous ; Bak : la procédure proposée pour filip_net dans l'autre topic a été adaptée pour lui. Il avait déjà passé quelques outils. Poste un rapport HijackThis! du PC de ton pote, et on va lui monter une procédure juste pour lui, bien expliquée et simple à appliquer. Merci

Salut S!Ri, Charly, et salut filip_net Arf... je viens juste de trouver un fix temporaire pour ce SpyFalcon, mais je vois que S!Ri a déjà ciblé le fichier responsable (dmxpp.dll). Grinler a créé un regfix en attendant la MAJ de SmitRem, alors je te suggère cette procédure (juste pour s'assurer que la bdr est propre) : Si tu n'as pas encore Ewido, alors suis les instructions de Charles et télécharge-le, fais sa mise à jour, puis ferme-le pour l'instant. Fais un clic-droit sur le lien suivant : FixSF.reg (de Grinler) ; ..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau. - Redémarre en Sans Échec. - Va dans "Ajout/Suppression de programmes" (Panneau de config) et désinstalle SpyFalcon s'il s'y trouve encore - Double-clique FixSF.reg, et accepte la fusion. - Assure-toi que ce fichier et dossier ont bien été supprimés : C :\Windows\System32\dxmpp.dll << fichier C:\Program Files\SpyFalcon << dossier - Lance SmitRem à nouveau (double-clique RunThis.bat), et laisse-le faire son travail. - Si tu n'as pas passé Ewido, alors fais un scan complet, et sauvegarde le rapport sur ton Bureau. - Redémarre en mode Normal. Poste un nouveau rapport HijackThis!, + rapport Ewido, + rapport de SmitRem (C:\smitfiles.txt).

Salut Liloute, Charly Ouaip, c'est vraiement quelque chose de nouveau qui hante la bécane ; je tente quelques manips, et puis je contacterai les renforts si besoin... Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en gras ci-bas (sélectionne avec la souris, clic-droit, puis "Copier") : C:\windows\winlogon.exe C:\WINDOWS\System32\dfrgfat32.exe C:\WINDOWS\System32\spooler.exe C:\windows\nav32.exe C:\WINDOWS\nvcr32.exe Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Dès le redémarrage, tapote la touche F8 pour le mode Sans Échec ; "Démarrer" >> "Exécuter" >> cmd et tape ceci : sc stop aol7.0 [Entrée] sc delete aol7.0 [Entrée] exit [Entrée] Vérifie que ce fichier n'existe plus (supprime si trouvé) : C:\Windows\winlogon.exe << (fais gaffe... C:\Windows\System32\winlogon.exe est légitime..) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Lance HijackThis! et fixe ces lignes (si présentes) : O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing) O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: windows virus scanner (windows antivirus) - Unknown owner - C:\windows\nav32.exe (file missing) O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing) Ferme HijackThis! et redémarre en Normal. Fais un nouveau scan (HijackThis!) et poste le rapport s'il te plaît. On va y arriver

Resalut La StartupList ne révèle pas la présence de sysbus32.sys, repéré par Spy Sweeper, donc j'espère qu'il est bien parti... Prochaine étape : Lance Ewido et mets le à jour, puis ferme le. Redémarre en mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes puis clique "Fix checked" : O4 - HKLM\..\Run: [semanticInsight] C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.exe O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY O4 - HKCU\..\Run: [update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\q886lils18q6.dll (file missing) Ferme HijackThis! Va dans le Panneau de Config >> "Ajout/Suppression de programmes", et désintalle Kazaa et RxToolbar si présents. Ensuite, recherche et supprime ces dossiers : C:\Program Files\Kazaa C:\Program Files\RXToolBar Toujours en Sans Échec, fais un scan complet avec Ewido, et sauvegarde le rapport sur ton Bureau. Redémarre en mode Normal. Scan avec HijackThis! et poste le nouveau rapport, avec celui d'Ewido également. J'aimerais également que tu fasses une recherche de fichiers ("Démarrer" >> "Rechercher" >> "Des fichiers ou des dossiers...") pour : freeprodtb.exe >> note son (ses) emplacement(s) sysbus32.sys >> dis moi s'il existe @ bientôt

Charly !! et Merci de ton intervention. J'ai pas pu être en ligne depuis hier, donc j'apprécie beaucoup les excellentes instructions pour notre amie Liloute Je serai là un peu plus tard également, donc à bientôt !

Ils sont coriaces... Ok, on vire quelques pestes, et puis on passe un nouveau scan : Recherche et supprime ces fichiers/dossiers (si trouvés) : C:\WINDOWS\drsmartload2.dat << fichier C:\WINDOWS\uniq << dossier ? ou fichier...peut importe.. ========================= Nous allons maintenant passer un outil antivirus assez puissant : eScan Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis! Bon courage

Rebonjour Sandra ; Je vais te faire travailler un brin (pas compliqué !). Premièrement, tu dois modifier quelques options d'affichage afin de bien voir tous les fichiers/dossiers cachés par Windows, et voici comment faire : - Lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> et clique sur "Explorer") - Clique sur le menu "Outils" (au haut), puis clique sur "Options des dossiers..." - Clique l'onglet "Affichage" : - Coche "Afficher le contenu des dossiers système" - Active le bouton rond "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique Ok et ferme la fenêtre. De l'Explorateur Windows, navigue vers ce dossier et clique une fois dessus : C:\Documents and Settings\sandra\Local Settings\Temp << Tu verras maintenant tous les fichiers contenu dans ce dossier dans la fenêtre de droite. Pour chacun des fichiers suivants, fais un clic-droit dessus et clique sur "Propriétés", et clique sur l'onglet "Version". Note ce qui est écrit, et refile nous l'information ici, s'il te plaît. Il est possible que ces fichiers soient tous de SysInternals, mais vaut mieux vérifier ! Voici les fichiers en question : C:\Documents and Settings\sandra\Local Settings\Temp\RMGIOZ.exe C:\Documents and Settings\sandra\Local Settings\Temp\OLXERHPG.exe C:\Documents and Settings\sandra\Local Settings\Temp\HVERKLBUQ.exe C:\Documents and Settings\sandra\Local Settings\Temp\GXEJAIMMS.exe C:\Documents and Settings\sandra\Local Settings\Temp\BYBBLC.exe C:\Documents and Settings\sandra\Local Settings\Temp\BEWVJ.exe C:\Documents and Settings\sandra\Local Settings\Temp\TYNUE.exe À plus tard !

Merci pour ce rapport kms49 Je vais maintenant te demander un autre rapport, rapide celui-là : - Lance HijackThis! et clique sur le bouton "Open the Misc Tools Section" - Juste à côté (à droite) du bouton "Generate StartupListLog", coche les deux cases - Clique sur Generate StartupListLog - Un rapport sera généré : colle-le ici, dans ta prochaine réponse. Dis nous également si tu as des dysfonctionnements en ce moment (popups ou autres...)