Gof

Bonjour marmottepunk Ok pour Smitfraudifx. -Supprime le dossier Smitfraudfix et le fichier smitfraudfix.zip. -Supprime VirtumundoBeGone.exe et le rapport VBG.TXT. -Supprime Killbox.zip, le dossier dans lequel tu l'as extrait, et le dossier qui se trouve ici : c:\!killbox. Fais ceci stp : Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Citation"=>Attention pas de ligne vierge avant REGEDIT4 ) : -Enregistre ce fichier dans : Bureau -Nom du fichier : removeside.reg -Type : tous les fichiers Clique sur Enregistrer Double-clique sur le fichier removeside.reg pour qu'il s'exécute. Un message te demandera la fusion, accepte. Supprime le fichier reg. Vide la corbeille. Je n'y avais pas prêté attention, car je n'avais vu que la fonction pare-feu, mais McAfee antivirus fait doublon avec Antivir. Désinstalle Antivir, la présence de 2 antivirus en même temps peut provoquer de sérieux disfonctionnements. Ouvre le gestionnaire des tâches Clique sur l'onglet "processus" Fais un clic-gauche sur chacun des fichiers suivants pour les sélectionner, puis clique sur "terminer le processus" et "Ok" à la demande de confirmation : AVGUARD.EXE SCHED.EXE AVGNT.EXE Rends toi dans ton panneau de configuration<Ajout/suppression de programmes et désinstalle : Avira Antivir ... - Double-cliquer ATF-Cleaner afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. - Exécute JV16 Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert. Et enfin, un dernier scan Panda qui ne devrait rien révéler normalement :

Il s'agit de 3 fois le même rapport Pepi Applique ce que je t'ai dit dans mon post précédent. Je te lis demain, je vais filer là.

Tu peux supprimer look.bat et look.txt ; le problême ne vient pas de là. Je pense que tu dois faire une fausse manipulation quelque part. Supprime le dossier smitfraudfix et le fichier smitfraudfix.zip. Assure toi que le guard d'antivir est bien désactivé. Retélécharge Smitfraudfix (une mise à jour de l'outil a été faite aujourd'hui). Et décompresse le dans un dossier sur le bureau.

Tu t'es trompé de look Pepi Tu m'as posté là le rapport de mslook.bat; celui que je te demande est le rapport de look.bat

Re, Pourrais tu faire ceci pour voir s'il te plait (merci à S!Ri et miekiemoes): Ouvre le bloc-notes - Menu Démarrer, Tous les programmes, Accessoires, Bloc notes ou - Menu Démarrer, Exécuter : tape notepad Assure toi que le retour automatique à la ligne est désactivé (Format/décoche "retour automatique...") Copie-colle ce qui suit dans le bloc-notes (sans la mention "code") et sauvegarde sur le bureau comme ceci : C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /s >> look.txt start notepad look.txt Nom : look.bat Type : Tous les fichiers Double-clique sur Look.bat. Cela va t'ouvrir un fichier au format TXT Look.txt Copie et colle ici le contenu de Look.txt.

Re bonsoir marmottepunk, Ne t'inquiète pas, quand tout est fini, je te fais désinstaller tout ce que je t'ai fait télécharger ; je ne vais pas te laisser avec tous ces outils et rapports en plan. Le rapport Kaspersky est propre en effet. Mais j'ai encore quelques petites manipulations à te demander. Supprime ceci (en gras) : C:\Program Files\Fichiers communs\{320D180E-0578-1036-0614-050315050021} Désactive le guard d'antivir (clic-droit sur le parapluie, "deactivate guard") et retélécharge Smitfraudfix ; l'outil a été mis à jour aujourd'hui. Lance l'option 1 et poste le rapport stp.

Bonsoir Pepi Ne t'inquiète pas, on va y arriver. En ce qui concerne Smitfraudfix, je pense que c'est antivir qui a détecté process.exe du fix et qui l'a traité. Pour ce qui est de la détection dans C:\system volume information\_restore{8E922DG-95E7-43AC-92E4-027162EC1COD}\RPZ\A0021857.exe, comme je te l'ai dit, tant que tu ne restaures pas, pas de soucis. Pour tes mails, si tu ne connais pas l'expéditeur, supprime les comme tu l'as fait. Tu peux m'indiquer éventuellement l'objet et le "nom" de l'expéditeur s'il ne s'agit pas d'un email privé que je vois de quoi il retourne (mais ne poste surtout pas d'email privé sur le forum). Je vais te demander de désactiver le guard antivir, le temps du passage de smitfraudfix. Fais un clic-droit sur le parapluie, et sélectionne "deactivate guard". Relance Smitfraudfix comme je te l'ai indiqué en option 1 et poste le rapport. Sélectionne ensuite "reactivate guard" en procédant de la même façon par la suite. Si tu as une détection de process.exe, il s'agit de smitfraudfix, pas de soucis. Lorsque tu dis que tu as fait le nécessaire avec les sauvegardes de spybot, tu veux dire que tu les as purgées, c'est bien ça ?

Re, Je te rassure, il n'y a rien d'inquiétant. Panda a révélé un reste de Vundo, et a détecté les outils que je t'ai fait télécharger comme suspicieux, c'est normal. Il est plus surprenant qu'il ait détecté Atf-cleaner.exe comme suspicieux. Il a détecté également un reste d'un adware dans la base de registre ; ce dernier n'est plus actif, mais il y a encore quelques traces. L'ennui, c'est que Panda ne nous a pas indiqué où. Je te fais supprimer les outils qui font réagir l'antivirus et qui ont été également relevés par Panda. -Lance Killbox Choisis l'option Delete on Reboot Copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" : C:\Program Files\Fichiers communs\{320D180E-0578-1036-0614-050315050021}\services.dll clique sur "Unregister .dll Before Deleting" Clique sur la croix blanche sur fond rouge (Delete File). A la question "File will be Removed on Reboot, Do you want to reboot now?", réponds Oui. --Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même -Supprime le fichier compressé de Smitfraud (smitfraudfix.zip) et le dossier dans lequel tu l'as extrait. -Supprime Virtumundobegone.exe. -Vide la corbeille. -Double-clique ATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. -Suppression des points de restauration : Fais un clic-droit sur Poste de travail / Propriétés / onglet Système de restauration coche la case "Désactiver le système de restauration..." redémarre l'ordinateur après le redémarrage, retourne dans le même onglet pour rétablir le Système de restauration décoche la case "Désactiver le système de restauration..." pour remettre les choses en place. Un dernier scan et ce devrait être le bout (environ 30min). Fais un autre scan complet en ligne avec Kaspersky WebScanner : http://webscanner.kaspersky.fr/ Sous "Démonstration en ligne" , on t'explique la marche à suivre. Pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" . Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Aide toi de ce tuto de Malekal_morte si tu n'y arrives pas : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566.

Si tu as bien sélectionné "poste de travail", le scan analysera tous les dossiers présents sur ton disque, et tous les lecteurs branchés. En attendant le résultat du scan en ligne, peux tu me dire sur quel fichier antivir lance ses alertes ? S'agit-il bien de process.exe ? il y en a-t-il d'autres ?

Re, Excellent travail marmottepunk ! Je vais te faire faire un scan en ligne pour confirmer, mais le log hijackthis est propre, et le rapport ewido n'a quasi rien révélé, c'est très bon signe. Profites-en lorsque tu posteras le rapport de l'analyse en ligne pour me dire comment se porte le pc ; qu'en est-il de de ces fenêtres en italien ? Constates tu des disfonctionnements ? Bref, y a-t-il du mieux ? Fais un scan en ligne avec Panda. Et poste le rapport qu'il t'affichera à la fin : pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici. Si tu n'y arrives pas, tu trouveras un tuto ici Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable Je t'invite à bien lire le tuto pour comprendre comment sauvegarder le rapport et le poster dans ta prochaine réponse. Si le rapport est bon, je te ferai désinstaller les outils dont tu n'as plus besoin et je te donnerai quelques conseils de prévention.

Bonjour BENFMOHA, Tu devrais pouvoir trouver de l'aide sur Zebulon. Mais il te faut répondre aux questions et faire ce que l'on te demande si tu veux qu'on t'aide. Regarde, la première fois tu as exposé ton souci ici et tu n'as pas répondu à INFOMEDIC et Vercingétorix II : pc s'eteint au demarrage d'AVAST La deuxième ici, et tu n'as pas répondu à Charles Ingals : analyser mon rapport Et enfin ici une troisième fois. Ne t'éparpille pas, et réponds aux questions. Je te conseille dans un premier temps histoire de faire le point question infection de répondre à Charles Ingals. EDIT : Zut, pas vu le post de Regis56 désolé.

Arf, si entre temps tu as installé webmediaplayer, reviens en effet sur ton topic sécu qu'on revérifie...

Bonjour tous, @medicus33 C'est moi qui l'ai amené ici en fait, blacklight propre, log hijackthis propre et scan en ligne propre. @Xtatic : Par contre, tu ne m'avais pas parlé de webmediaplayer dans ton topic sécu. ->http://forum.zebulon.fr/index.php?showtopic=103581&hl= Désinstalle le. Je suis l'avis de Medicus33 pour emule, consulte le lien qu'il t'a donné.

Re marmottepunk, Au boulot. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page 1. Téléchargement et installation des outils nécessaires. Ewido anti-malware d' Ewido Networks - Mets le à jour puisque tu l'as déja : Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" Ferme Ewido. Ne pas le lancer tout de suite. Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html [*]Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici. [*]Télécharge ATF Cleaner par Atribune. [*]Télécharge Killbox et décompresse le dans un dossier à son nom. --Lance Killbox --Choisis l'option Delete on Reboot --Copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" : C:\WINDOWS\system32\winzzd32.dll --Clique sur "Unregister .dll Before Deleting" --Clique sur la croix blanche sur fond rouge (Delete File). --A la question "File will be Removed on Reboot, Do you want to reboot now?", réponds Oui. --Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même 2. Redémarre en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924 3. Suppression des éléments infectieux. Rends toi dans ton panneau de configuration>Ajout/Suppression de programmes et désinstalle : ToolBar888 Rends toi dans ton menu Démarrer>Exécuter et copie-colle : C:\Documents and Settings\Vivi\Local Settings\Application Data\ Supprime le fichier : f1c56988.exe 4. Correction (FIX) des lignes dans HijackThis. Lance un scan HijackThis. clique sur Do a system scan only et coche les lignes ci-dessous (si encore présentes): O2 - BHO: (no name) - {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} - C:\WINDOWS\system32\mljgf.dll O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll O4 - HKCU\..\Run: [f1c56988.exe] C:\Documents and Settings\Vivi\Local Settings\Application Data\f1c56988.exe O4 - Global Startup: Exif Launcher.lnk = ? O20 - Winlogon Notify: mljgf - C:\WINDOWS\system32\mljgf.dll O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. 5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO. Double-clique ATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Exécute JV16. Mets le logiciel en français Preferences > Language > Français > OK. Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert. 6. Nettoyage complémentaire par EWIDO. Lance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre A la fin clique sur Apply all actions Puis sur Save report et pour finir Save report as, enregistre sur le Bureau 7. Redémarrage en mode normal, "post" des logs Redémarre en mode normal. Poste : le rapport EWIDO Un nouveau Log HijackThis (toujours avec celui renommé) A plus tard.

Bonjour marmottepunk Bien, on continue. Double-clique sur smitfraudfix.cmd Sélectionne 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? réponds oui afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? réponds oui pour remplacer le fichier corrompu. Redémarre en mode normal et poste le rapport sur le forum.

Bonjour Sachab Attends la réponse de Charles Ingals dans ton sujet, pas la peinde de reposter un nouveau sujet.

Bonjour pepi Pour le premier, il doit se trouver dans un de tes points de restauration, pas de soucis tant que tu ne restaures pas. Je te ferai supprimer tes points de restauration par la suite, quand je serais certain que tout est propre. Pour le deuxième, je n'ai pas assez d'éléments. - Supprime toutes les sauvegardes de Spybot en les "purgeant". - J'aimerais que tu fasses ceci pour m'assurer d'une chose : - Télécharge Smitfraudfix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.zip Décompresse la totalité de l'archive sur ton bureau. Double-clique sur smitfraudfix.cmd Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection. sauvegarde ce rapport et poste le. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Parle moi du fonctionnement du pc ; il y a-t-il des disfonctionnements ? des pop-ups ? Est-ce qu'il y a du mieux ?

Si un fichier système est constaté comme altéré, la commande le remplacera par le fichier original du cd xp. Cela ne touchera pas à tes données, tes profils, etc. Il te faudra peut-être réinstaller quelques drivers par contre à l'issue, c'est possible. Je n'ai jamais constaté de plantage général après avoir appliqué ou fait appliquer cette commande. Tu peux demander des précisions sur cette commdande dans le sous-forum Software également, tu y trouveras des spécialistes de la réparation windows qui te répondront peut-être avec plus de précisions.

Bonjour Xtatic, Ton log hijackthis ne montre rien de malveillant. Le rapport Blacklight est propre et le rapport en ligne ne révèle que des cookies. Pour ces derniers, tu peux utiliser Atf-cleaner qui est très pratique et très rapide. - Télécharge Atf-cleaner par Atribune Double-clique ATF-Cleaner afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Tes problèmes de plantage ne sont pas liés à une infection active, je t'invite à solliciter des conseils et des avis dans le sous-forum Software de Zebulon. Si tu as un ou des messages d'erreur lors de tes plantages, joins les à ta demande, ce sera nettement plus aisé de retrouver quel est l'origine de ces plantages. Ils peuvent être issus de tant de raisons, que sans précision il sera difficile d'en retrouver la cause. Tu peux peut-être tenter une restauration de tes fichiers systèmes au cas où certains seraient altérés. Insère ton cd windows xp dans le lecteur. Va dans ton menu Démarrer, Exécuter et tape : sfc /scannow Laisse travailler, constate s'il y a ou non du mieux. Je te souhaite bon courage, je jetterais un coup d'oeil dans ton sujet dans Software si tu y exposes tes soucis.

Bonjour marmottepunk Oui c'est normal si c'est dans le cadre de l'utilisation des 2 outils que je viens de te faire télécharger. Relis bien mon message précédent -> "process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus". Fais un clic-droit sur le parapluie d'antivir et sélectionne "deactive guard" pour désactiver temporairement le résident d'antivir afin de pouvoir passer les outils.

Suite ici -> http://assiste.forum.free.fr/viewtopic.php?t=13100.

Bonsoir marmottepunk Tu es infectée, on va y aller par étapes. - Télécharge Smitfraudfix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.zip Décompresse la totalité de l'archive sur ton bureau. Double-clique sur smitfraudfix.cmd Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection. sauvegarde ce rapport et poste le. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. - Télécharge VirtumundoBegone sur le bureau : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe Double-clique ensuite sur VirtumundoBeGone.exe et suis les instructions. Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis (toujours le renommé). Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu. A plus tard.

Me revoila, tu as fait un excellent travail apparemment. Bon boulot Je vais te demander de faire un peu de nettoyage et une analyse en ligne. - Double-cliquer ATF-Cleaner afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. - Exécute JV16 Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert. - Fais un autre scan complet en ligne avec Kaspersky WebScanner : http://webscanner.kaspersky.fr/ Sous "Démonstration en ligne" , on t'explique la marche à suivre. Pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" . Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Aide toi de ce tuto de Malekal_mortesi tu n'y arrives pas : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566. A plus

Oups, autant pour moi. Ok, bon boulot, je regarde tout ça.

Re, J'attends également les rapports de Mslook.bat et de Regsearch. Je voudrais également que tu m'indiques en détail si tu as rencontré des soucis ou non à appliquer la procédure de la première partie. Reposte également un log hijackthis.