Gof

C'est nettement mieux Nyny34 ! Bon boulot ! Petit aparté, j'ignorais que tu utilisais Firefox, je ne l'avais pas vu sur tes logs avant le dernier rapport Ewido. Dans ce cas, quand tu utilises ATF-Cleaner, utilises le de cette façon : Je vais te demander à présent d'utiliser Internet Explorer (à cause de la nécessité des ActiveX) pour le scan de Panda :

Merci Chercheur donc la procédure est validée, tu peux l'appliquer Nyny34 Début de la procédure 2. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec. 1. Redémarrage en mode sans échec. -Redémarre en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924 2. Affichage des fichiers et dossiers cachés. Je te le remets pour t'assurer que l'affichage des fichiers et dossiers cachés est bien activé. -Assure toi d'avoir l'accès aux fichiers et dossiers cachés. 3. Suppression des éléments infectieux. Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. Lorsque j'indique "de taper (en gras)", je veux dire tape ce qui est en gras, je ne te demande pas de le mettre en gras (LOL), on s'est mal compris. - Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE] Puis tape (en gras) ce qui suit : sc stop STI Simulator [Valider] sc delete STI Simulator [Valider] sc stop Windows Update Service [Valider] sc delete Windows Update Service [Valider] -Ferme la fenêtre CMD. Tu me rapporteras les messages d'erreur s'il y en a. - Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. (Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici). winsystem.exe MSASP32.exe winaup.exe phqghume.exe navupdate64.exe PAStiSvc.exe pwnsvc.exe -Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle (Je n'ai pas l'impression que tu ais fait ceci sur la procédure précédente): MyWebSearch Email Plugin My Web Search Bar Si tu ne les trouve pas, essaie avec My Web Search - Dans Menu Démarrer, Exécuter : tape (en gras) : d:\Program files. Supprime le dossier : mywebsearch si tu trouves MyWebSearch Email Plugin si tu trouves MyWebSearch si tu trouves -Rends toi dans ces dossiers et vide le contenu. C'est à dire que tu dois supprimer tout ce qu'ils contiennent, mais ne supprime pas le dossier. d:\TEMP d:\WINDOWS\TEMP d:\Documents And Settings\Session utilisateur\Local Settings\Temp d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vide la corbeille. 4. Suppression (FIX) des lignes dans HijackThis. Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000 O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118508792677 O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing) -Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. C'est cela que tu as oublié de faire sur la procédure précédente ! 5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO. -Double-cliquer ATF-Cleaner.exe afin de lancer le programme : Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Clique Exit, du menu prinicipal, afin de fermer le programme. -Exécute EasyCleaner (Utiliser le raccourci sur le bureau) : Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all". -Exécute JV16 puis : Mets le logiciel en français Preferences > Language > Français > OK. Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert. 6. Nettoyage complémentaire par EWIDO. -Lance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 7. Redémarrage en mode normal. -Poste le rapport EWIDO et un nouveau Log HijackThis.

Re, ok, j'ai édité la procédure en conséquence. Attends la validation d'un conseiller avant d'appliquer, n'oublie pas ! Oui Panda est un scan en ligne, mais il scanne ton PC ( ), je t'ai peut-être mal compris. Ce n'est pas grave on verra plus tard.

Re, Tu as de la chance, j'aime bien les blondes (merci pour le temesta, mais j'essaie d'arrêter ) Oui oui c'est très possible. Tu ne m'as pas posté le rapport Panda, si tu es en train de faire le scan, attends la fin de celui-ci avant d'appliquer la procédure qui suit. ------------------------------------------------ Attends la validation d'un conseiller sécurité avant d'appliquer ce qui suit ! ------------------------------------------------ Début de la procédure 2. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec. 1. Redémarrage en mode sans échec. -Redémarre en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924 2. Affichage des fichiers et dossiers cachés. Je te le remets pour t'assurer que l'affichage des fichiers et dossiers cachés est bien activé. -Assure toi d'avoir l'accès aux fichiers et dossiers cachés. 3. Suppression des éléments infectieux. Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. Lorsque j'indique "de taper (en gras)", je veux dire tape ce qui est en gras, je ne te demande pas de le mettre en gras (LOL), on s'est mal compris. - Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE] Puis tape (en gras) ce qui suit : sc stop STI Simulator [Valider] sc delete STI Simulator [Valider] sc stop Windows Update Service [Valider] sc delete Windows Update Service [Valider] -Ferme la fenêtre CMD. Tu me rapporteras les messages d'erreur s'il y en a. - Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. (Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici). winsystem.exe MSASP32.exe winaup.exe phqghume.exe navupdate64.exe PAStiSvc.exe pwnsvc.exe -Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle (Je n'ai pas l'impression que tu ais fait ceci sur la procédure précédente): MyWebSearch Email Plugin My Web Search Bar Si tu ne les trouve pas, essaie avec My Web Search - Dans Menu Démarrer, Exécuter : tape (en gras) : d:\Program files. Supprime le dossier : mywebsearch si tu trouves MyWebSearch Email Plugin si tu trouves MyWebSearch si tu trouves -Rends toi dans ces dossiers et vide le contenu. C'est à dire que tu dois supprimer tout ce qu'ils contiennent, mais ne supprime pas le dossier. d:\TEMP d:\WINDOWS\TEMP d:\Documents And Settings\Session utilisateur\Local Settings\Temp d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vide la corbeille. 4. Suppression (FIX) des lignes dans HijackThis. Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000 O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118508792677 O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing) -Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. C'est cela que tu as oublié de faire sur la procédure précédente ! 5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO. -Double-cliquer ATF-Cleaner.exe afin de lancer le programme : Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Clique Exit, du menu prinicipal, afin de fermer le programme. -Exécute EasyCleaner (Utiliser le raccourci sur le bureau) : Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all". -Exécute JV16 puis : Mets le logiciel en français Preferences > Language > Français > OK. Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert. 6. Nettoyage complémentaire par EWIDO. -Lance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 7. Redémarrage en mode normal. -Poste le rapport EWIDO et un nouveau Log HijackThis. Si tu as fait le scan Panda comme demandé, poste également le rapport.

Bonjour nyny34, j'ai l'impression que tu n'as pas appliqué tout ce que je t'avais demandé de faire. La protection en temps réel d'Ewido n'est pas active car je te ne l'ai pas fait installer pour cela. En scan il est gratuit, mais en protection résidente il est payant au bout d'une quinzaine de jours. Je te reprépare une procédure qu'il te faudra bien appliquer. Il faudra prendre le temps de bien la lire et de poser des questions si des éléments ne te paraissent pas clairs. A tout à l'heure

Bonjour natnatnat, bienvenue sur le forum sécurité de Zebulon ! Tu as posté (avant de poster sur Zebulon) également une demande d'analyse HijackThis sur Assiste.com qui a reçu une réponse de la part de NickW : UC util à 100 % Il est inutile de poster plusieurs demandes d'analyses sur plusieurs forums, cela ne sert à rien, et fait perdre beaucoup de temps aux gens (bénévoles) qui analysent les logs. Là ce n'est pas trop grave, car ton analyse n'a pas commencée ici sur Zebulon, mais quelle perte de temps sinon, et quel méli-mélo si 2 procédures sont appliquées en même temps... Il n'y a pas de comptétition concernant la sécurité et l'éradication des malwares, et tout le monde travaille de concert Je te conseille de poursuivre sur Assiste avec NickW. EDIT : Chercheur

Re, Attends la validation d'un conseiller sécurité avant d'appliquer ce qui suit ! Première constatation nyny34, ton système n'est pas à jour ! Dès que le système sera bien propre, je te recommanderai de le mettre à jour sans tarder car ton Pc est plus vulnérable sans ces dernières. Je te demande d'appliquer la procédure qui suit ; elle peut te paraître longue et fastidieuse, mais ne t'en fais pas, en la suivant pas à pas tu t'en sortiras très bien ! N'hésite pas à demander si je n'ai pas été assez clair et que tu as besoin d'éclaircissements. Début de la procédure 1.Téléchargement des outils. -Télécharge et installe EasyCleaner de Toni Helenius (Programme faisant parti de la catégorie des nettoyeurs) -Télécharge la version d'évaluation d'Ewido: Installe et mets à jour (procède comme indiqué ci-dessous) : Important: Pendant l'installation, sur la page "Additional Options" : décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur le Bureau. Clique sur mise à jour, attends la fin de cette mise à jour, puis ferme le programme. -Télécharge ATF Cleaner par Atribune. -Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec. 2. Redémarrage en mode sans échec. -Redémarre en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924 3. Affichage des fichiers et dossiers cachés. -Assure toi d'avoir l'accès aux fichiers et dossiers cachés. 4. Suppression des éléments infectieux. Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. - Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE] Puis tape (en gras) ce qui suit : sc stop Netlib [Valider] sc delete Netlib [Valider] sc stop STI Simulator [Valider] sc delete STI Simulator [Valider] sc stop Windows Update Service [Valider] sc delete Windows Update Service [Valider] -Ferme la fenêtre CMD. - Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. winsystem.exe MSASP32.exe winaup.exe phqghume.exe navupdate64.exe Netlib.exe PAStiSvc.exe pwnsvc.exe -Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle : MyWebSearch Email Plugin My Web Search Bar -Vide la corbeille. 5. Suppression (FIX) des lignes dans HijackThis. Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000 O23 - Service: Net Functions Library (Netlib) - Unknown owner - D:\WINDOWS\System32\Netlib.exe (file missing) O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing) -Ferme toutes les fenêtres sauf HijackThis et Fix Checked. 6. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO. -Double-cliquer ATF-Cleaner.exe afin de lancer le programme : Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Clique Exit, du menu prinicipal, afin de fermer le programme. -Exécute EasyCleaner (Utiliser le raccourci sur le bureau) : Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all". -Exécute JV16 puis : Mets le logiciel en français Preferences > Language > Français > OK. Ensuite, Outils registre > menu Outils > nettoyeur de registre. Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". Clique sur "Continuer" puis sur "Démarrer". Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert. 7. Nettoyage complémentaire par EWIDO. -Lance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 8. Redémarrage en mode normal. -Redémarre en mode normal et poste le rapport EWIDO et un nouveau Log HijackThis. Comment se porte l'ordinateur ? Quand tu auras posté les rapports que je t'ai demandés et le temps que je les étudie, fais une analyse en ligne avec Panda et poste le rapport qu'il t'affichera à la fin. Si tu n'y arrives pas, le tuto est ici.

Re, Je regarde ton log et reviens le plus vite possible. A+ tard

Oui, exécute le en mode sans échec. Puis redémarre en mode normal et poste un nouveau log HijackThis. On avisera ensuite. A plus tard

Re bonsoir nyny34, es-tu sur(e) que Antivir est bien à jour ?

Presque Mets "résolu" dans le titre ou sous-titre, pas au début du premier message.ça évite d'ouvrir le sujet quand il est déjà fini.

Re bonsoir nyny34, je n'avais pas vu ton message précédent. Puisque tu as déjà Antivir, inutile de le réinstaller. Par contre, assure toi qu'il est bien à jour, et configure le comme indiqué par Tesgaz dans la procédure de pré-nettoyage. Il est important de lancer Antivir en mode sans échec. Ton pc est infecté. Applique bien la procédure de prénettoyage, et reposte un log hijackthis.

Bonsoir gwen43, Déplace HijackThis.exe dans un autre dossier à la racine du disque par exemple : c:\hijack\hijackthis.exe Refais la manipulation que Bruce Lee t'avait demandé stp : On avisera ensuite.

Bonsoir SPH, chaque chose en son temps ; avant de vouloir installer quelque chose il est mieux de s'assurer que tout est propre... Il serait le bienvenue d'appliquer la procédure de pré-nettoyage que t'a indiqué Pitcat, de sorte d'y voir un peu clair dans ton affaire. En appliquant ce pré-nettoyage, en effet on avancerait... ^^

Bonsoir, tu retourner sur le tout premier message, et tu cliques sur "éditer". Tu pourras ensuite modifier ton titre

Lorsque tu reçois un de leurs mails, tu devrais pouvoir en faisant un clic-droit dessus les bloquer pour la prochaine fois il me semble, non ? Ou à défaut les faire "traiter" comme du courrier indésirable.

Re, Une petite recherche google : ici Une petite recherche Zebulon : ici Mais un malware débarquant rarement seul, je t'invite à suivre la procédure de pré-nettoyage. ^^ Ou si tu es motivé et autonome, la méthode en solo proposée par Tesgaz : Désinfecter windows

Bonsoir nyny34, Oui Mais avant de poster ton log HijackThis, fais un tour par la procédure de pré-nettoyage de PC infecté : http://forum.zebulon.fr/index.php?showtopic=83986

Bonsoir Angevil, Pitcat te demandait de supprimer les lignes (clic droit, puis supprimer) qui correspondait à Kaspersky dans Zone Alarm, "contrôle des programmes", onglet "programmes". Puis fermer Zone alarm. Redémarrer et relancer Zone alarm, et relancer Kaspersky. Puis accepter l'accès à internet pour ce dernier.

Bonsoir rien2negatif Dans Msn, Outils, Confidentialité : coche la case "Autoriser seulement les contacts de ma liste verte à m'envoyer des messages...". Ensuite, assure toi que l'adresse de tes 2 contacts en question soient en liste rouge. AVG est un antivirus, pas un pare-feu. Comme Antivir. Je te propose Zone Alarm pour le pare-feu : http://telechargement.zebulon.fr/58-zonealarm-61-fr.html Avec un tuto : http://www.zebulon.fr/articles/configurationZA_1.php Le tuto concerne la version PRO de Zone Alarm, mais la version FREE n'est pas très différente. Seul l'antivirus n'est pas présent. Et Antivir (en ayant donc désinstallé AVG) : http://www.free-av.com/http://telechargeme...-2000---xp.html Avec un tuto : http://speedweb1.free.fr/frames2.php?page=tuto5 Ce n'est qu'une proposition. Mais le binôme Zone Alarm / Antivir se marie bien. Je te rappelle que tu n'as que l'embarras du choix en matière de pare-feu et d'antivirus. Une recherche rapide sur Zebulon ou sur Google te donnera beaucoup de choix. quelques recommandations : Pour en savoir plus, consulte la page de ipl_001 : http://gerard.melone.free.fr/IT/IT-AM0.html 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : Navigateurs => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Je te le recommande vivement ! Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm Sécurisation des ports => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : http://www.pcflank.com/ Sécurisation de la navigation => SpywareBlaster : http://www.javacoolsoftware.com/downloads.html Son tuto : http://www.ordi-netfr.org/tutorialspywareblaster.html Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif. => Le fichier Host de Tesgaz : Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'utiliser. Télécharge le fichier Host de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP Explications sur le Host : http://speedweb1.free.fr/frames2.php?page=securite10 Conversations sur le Host sur Zebulon : http://forum.zebulon.fr/index.php?showtopic=88615 Outils de détection et de désinfection non résidents => Ad-Aware SE de Lavasoft http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 => SpyBot-Search & Destroy de Patrick Kolla http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php =>Ewido : http://www.ewido.net/fr/ mets à jour (procède comme indiqué ci-dessous) : Important: Pendant l'installation, sur la page "Additional Options" : décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur le Bureau. Clique sur mise à jour, attends la fin de cette mise à jour, puis ferme le programme. 2)- Les utilitaires pour nettoyer le PC : => EasyCleaner de Toni Helenius : http://personal.inet.fi/business/toniarts/ecleane.htm Tutorial : http://www.uptoopc.net/nettoyer/temporaires.php http://www.uptoopc.net/nettoyer/registre.php http://www.uptoopc.net/nettoyer/autresfonctions.php => ATF Cleaner par de Atribune : http://www.atribune.org/ccount/click.php?id=1 => JV16 : http://telechargement.zebulon.fr/201-jv16-powertools.html Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : Pour ton problème Wifi, je ne connais pas assez pour pouvoir t'apporter un début de réponse...

Bonjour darkangell, suis la procédure de pré-nettoyage d'un pc infecté, cela t'otera déjà pas mal de bêtes : http://forum.zebulon.fr/index.php?showtopic=83986 Assure toi de bien paramétrer Antivir d'après le tuto de Tesgaz comme indiqué dans la procédure de pré-nettoyage. C'est important. Reviens poster ton log HijackThis à la suite après. Bon courage EDIT : et bienvenue sur le forum Sécurité de Zebulon !

Bonjour El Vincenzo, Va peut-être t'assurer qu'il n'a pas un service actif. Menu Démarrer, Exécuter : tape (en gras) : services.msc Et regarde si tu l'y trouves. Si oui, clic-droit, propriétés : arrête le service, puis désactive le. Puis recommence ta désinstallation via l'assistant Ajout/Suppression des programmes. EDIT : Medicus33

Bonjour gwen43, Cela ne sert à rien de poster un deuxième sujet, à part induire en erreur les conseillers et juniors sécurité. Continue à la suite de ton autre sujet : http://forum.zebulon.fr/index.php?showtopi...=0entry717670

Bonjour jesuisleprince, Excuse nous de ne pas avoir la réponse clé en main, nous sommes en apprentissage. Je te demande juste de patienter un petit peu et on revient.

Bonjour Sacles, Très utile et pédagogique ton lien ! A lire avec intérêt et vivement recommandé !