regis56

Bonjour lili68 ! Ok pas de traces de ncase dans ces clées tu peut continuer la procédure STP ? A plus !

Bonjour adoubeur ! Les rapports sont ok on verra ce que donne Panda ! Ceci dis ClickMe n'est pas réellement une infection mais si tu désire le désinstaller fais ceci Faire démarrer/panneau de configuration/ajout-supression de programmes Regarder dans la liste si présent ClickMe (désinstaller) C:\apps\ClickMe\<= supprime le dossier ! -Exécuter EasyCleaner (Utiliser le raccourci sur le bureau): (Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre) Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé,clique sur "Delete all". Si problème refais la procédure en mode sans échec ! A plus !

Re Ok saute cette étape pour l'instant je vais voir ce qui cloche ! Edit : problème résolu tu peut réessayer STP ? A plus !

Re Voici ce que tu vas devoir faire STP -Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs) http://personal.inet.fi/business/toniarts/ecleane.htm Télécharger la version d'évaluation d'Ewido (Programme faisant partie des anti-malwares): http://www.ewido.net/en/download/ Installer et mettre à jour. Important: Pendant l'installation, sur la page "Additional Options" : décocher les deux options "Install background guard" et "Install scan via context menu". Démarrer Ewido avec l'icône qui se trouve sur le Bureau. Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme. Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC. Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous. Si un élément te paraît obscur, demande des explications avant de commencer la désinfection. Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware ) -Redémarrer en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924 -Maintenant Je vais te demander d'arrêter un service qui est lancé automatiquement en mode normal et qui est lié à l'infection ! Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: Windows Log Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration" va s'ouvrir cliquer sur (b]Delete a NT service...[/b] la fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : Windows Log Note : assurez-vous de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer. Cliquer NO -Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection ! Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes: O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing) Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked -Vérifier d'avoir accès à tous les fichiers : Maintenant on va supprimer manuellement les fichiers infectieux ! Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse. Clique sur démarrer/executer/ Copie/colle Rentre le chemin indiqué en rouge C:\WINDOWS\system32\ Le dossier va s'ouvrir Supprime le fichier indiqué en gras si présent : nvsvcd.exe(clique droit /supprimer) Vider la poubelle ! -Exécuter EasyCleaner (Utiliser le raccourci sur le bureau): (Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre) Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé,clique sur "Delete all". Relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -Redémarrer en mode normal : -Poster une réponse dans le même sujet (Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!) -Mettre un nouveau rapport HijackThis -Poster le rapport Ewido -Indiquer si le Pc présente encore des dysfonctionnements Après avoir posté ta réponse : Fais un scan chez panda: Panda et Avast entrent en conflit, pour pouvoir faire le scan chez Panda tu vas devoir télécharger un petit programme installactivescan.exe Télécharge le ici : http://acs.pandasoftware.com/marketing/installactivescan.exe Attention !! lors de l'installation cocher seulement raccouci sur le bureau (desktop ) Avant de cliquer sur le raccouci il faut désactiver le bouclier web d'Avast le temps du scan. Ensuite clique sur le raccouci sur le bureau Panda ActiveScan Tu arrive sur la page web clique sur; Scan your Pc Ensuite suit les instructions : si tu n'y arrives pas suit ce tuto: http://www.malekal.com/scan_Av_en_ligne.html Coller le rapport sur le forum. Ps : le scan ne marche que si vous avez conservé IE A plus et bon courage !

Re Ok analyse en cours retour dans un instant !

Bonsoir adoubeur et bienvenu sur le forum zeb-sécu ! Je pense que tu as oublié quelque chose non ? Tu peut mettre le rapport STP ? A plus !

Bonsoir diakité78 et bienvenu sur le forum zeb-sécu ! Tu dois poster sur ton propre sujet STP ! Clique sur ce lien et crée toi ton topic ! http://forum.zebulon.fr/index.php?act=post&do=new_post&f=51 A toute suite !

Re Voici ce que tu vas devoir faire STP Télécharge le fix de symantec ici et sauvegarde le sur ton bureau http://securityresponse.symantec.com/avcenter/FxKeenVl.exe On va créer un outil pour modifier la base de registre pour éliminer les traces d'infections ! 1/Faire une sauvegarde du registre Cliquer sur démarrer/executer Taper : regedit /e Sav.reg Le fichier de sauvegarde se trouve ici C:\Documents and Settings\Le nom de ta session\Sav.reg 2/ Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-hkey_current_user\software\SysWebTelecom] [-hkey_local_machine\software\classes\typelib\{676F6D1D-C559-42A9-860B-27C1477B7179}] [-HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller] [-HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}] [-HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}] [-HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}] [-HKEY_CURRENT_USER\Software\180solutions] [-HKEY_CURRENT_USER\Software\msbb] [-HKEY_LOCAL_MACHINE\Software\180solutions] [-HKEY_LOCAL_MACHINE\Software\Classes\180SAInstaller.180SAInstaller] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{B10031B2-F184-4803-9A88-D239C0641D70}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\msbb] [-HKEY_LOCAL_MACHINE\Software\msbb] -Enregistre ce fichier dans : Bureau -Nom du fichier : remove.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes: ne clique pas sur le fichier maintenant! Faire une recherche dans la base de registre -Vérifier d'avoir accès à tous les fichiers : Démarrer/Exécuter / taper NotePad et cliquer sur OK pour lancer le bloc-notes / copier-coller le texte suivant : regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" notepad %systemdrive%\regkey.txt del /q %systemdrive%\regkey.txt Fichier/Enregistrer sous... / Enregistrer dans : Bureau; Nom de fichier : RegKey.bat; Type : Tous les fichiers / Enregistrer Double-cliquer sur RegKey.bat (sur le bureau), une fenêtre bloc-notes s'ouvre / poster le contenu Quand on ferme le bloc-notes, la fenêtre CMD se ferme et le fichier texte est effacé. Supprime le fichier RegKey.bat Recommence l'opération avec ce code : regedit /a /e %systemdrive%\regkey.txt "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" notepad %systemdrive%\regkey.txt del /q %systemdrive%\regkey.txt puis avec celui ci: regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs" notepad %systemdrive%\regkey.txt del /q %systemdrive%\regkey.txt Voilà nous avons finis la première étape ! Nous allons passer à la désinfection ! Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC. Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous. Si un élément te paraît obscur, demande des explications avant de commencer la désinfection. Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware ) -Redémarrer en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924 -Clique sur le fix symantec FxKeenVl.exe sur ton bureau et laisse le faire son boulot ! -Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte. Elimine le fichier reg. -Vérifier d'avoir accès à tous les fichiers : Maintenant on va supprimer manuellement les fichiers infectieux ! Avant de supprimer quelque chose toujours noter la date et l'heure de création et communiquer les informations lors de la prochaine réponse. Clique sur démarrer/executer/ Copie/colle Rentre le chemin indiqué en rouge c:\windows\ Le dossier va s'ouvrir Supprime le(s) fichier(s) indiqué(s) en gras: GatorPatch.log(clique droit /supprimer) smdat32a.sys Clique sur démarrer/executer/ Copie/colle Rentre le chemin indiqué en rouge c:\program files\MyWay Le dossier va s'ouvrir Revient dessus et supprime le ! Vider la poubelle ! -Exécuter EasyCleaner (Utiliser le raccourci sur le bureau): (Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre) Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons". *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé,clique sur "Delete all". Relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -Redémarrer en mode normal : -Poster une réponse dans le même sujet (Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!) -Mettre un nouveau rapport HijackThis -Poster le rapport Ewido -Indiquer si le Pc présente encore des dysfonctionnements Après avoir posté ta réponse : Refais un scan panda. A plus et bon courage !

Bonsoir lili68 ! Analyse en cours retour dans un instant !

Bonsoir nelfox5 ! Ce genre de problème apprement peut arriver après un trop grand nettoyage du système ! Certains parle de cleanup l'as tu utilisé ? Sinon as tu essayé de faire le scan chez panda ? J'aimerai bien finir la décontamination si il faut ! A plus !

Bonjour facks ! Salut bruce ! Un peu de lecture ! http://forum.zebulon.fr/index.php?showtopic=85544 et http://forum.zebulon.fr/index.php?act=SR&f=40 Bonne journée !

Bonjour Fouz24 et bienvenu sur le forum zeb-sécu ! Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;) Bon courage et tiens nous au courant à plus !

Bonjour jufi ! Si tu pense avoir un problème hardware n'hesite pas à poster sur ce forum ! http://forum.zebulon.fr/index.php?showforum=3 Les copains s'occuperont de toi ! A plus !

Essai celui ci alors. http://forum.zebulon.fr/index.php?showtopic=95254

Re celui ci http://forum.zebulon.fr/index.php?showtopi...28&&do=findComment&comment=741028

Bonsoir Laurent_62 ! Non c'est toi qui a raison ! cambronne peut tu continuer sur le premier poste STP c'est plus facile d'aider quand on on as toutes les infos Merci !

Bonjour rouger ! Pas grand chose sur ton rapport Le P2P n'est pas bien vu ici ! Un peu de lecture : http://forum.zebulon.fr/index.php?showtopic=85544 et http://forum.zebulon.fr/index.php?act=SR&f=40 A l'avenir évite de faire apparaitre le programme BitLord ! Au mieux tu le désinstalle au pire désactive le le temps de ton passage ici merci Pourrait tu nous dire quel est ton FAI STP ? et le proxy était t'il en fonction lors du scan hijackthis ? On va quand même supprimer les active X sauf si tu est en bas débit et que tu est sur de les connaitrent ! Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes: O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/instal...hidden-test.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial A plus !

Re Le rapport est ok ! Peut tu faire un rapport Panda STP ? Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial A plus !

Bonsoir jufi ! Tu aurait pu poster à la suite de ton premier sujet mais on va rester sur celui ci maintenant ! Comme c'est un deuxième système analyse en cours retour dans un instant !

Bonjour mackxs et bienvenue sur le forum de zeb-sécu! je laisse la place à bruce lee A plus !

Bonjour lili68 ! Ok je suis content que ewido est fais son job c'est un très bon outil ! On attend le scan panda alors ! Si tu as conservé les rapports Ewido tu peut les mettres STP ? A plus !

Bonjour edmon et bienvenue sur le forum de zeb-sécu! Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;) Bon courage et tiens nous au courant à plus !

Bonjour will44 ! Le problème avec trend c'est qu'il donne des noms d'infection inconnu Peut tu faire un scan en ligne avec IE STP ? sinon essai de faire ceci STP A plus !

Re Bon je suis content de te dire que le problème venait de moi J'ai confondu vmplayer.exe et wmplayer.exe qui est relatif à windows media player ! donc pas de souci de ce coté là ! désolé ! A plus !

Re Bon on attend la réponse de trend En parallèle je m'informe sur le fichier VM ! A plus !