regis56

Bonjour tout le monde ! Comme je passe par là Peut tu faire ceci option 1 (WinXP, Win2K) Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. A plus !

Bonjour woolfys ! Tes rapports sont Ok ! Par contre je vois sur ton rapport un reste de bitdefender que tu as du désinstaller non ? Si c'est le cas fais ceci Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: BitDefender Virus Shield Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Répete l'opération avec celui là BitDefender Communicator Lancer Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration" va s'ouvrir cliquer sur (b]Delete a NT service...[/b] la fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : VSSERV Note : assurez-vous de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer. Cliquer NO Répète l'opération pour celui là XCOMM Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes: O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked -Faire un scan antivirus en ligne à titre de vérification http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement) -Poster le(s) rapport(s) trendmicro A plus !

Bonjour pioukaya ! Je ne sais pas d'ou vient ton problème ton Pc était désinfecté la dernière fois ? Là ce qu'on fais c'est du fignolage Tu peut quand même essayer ceci pour ta connexion TCP optimizer http://telechargement.zebulon.fr/73-TCP-Optimizer.html Sinon pour la suite peut tu faire ceci - double clique sur RegSearch.exe - copie colle l'entrée en rouge dans la ligne de la zone de recherche: mslagent navmpc - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel. On va vérifier que tout va bien Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial Refais un rapport hijackthis aussi STP A plus !

Bonjour franckych et bienvenue sur le forum de zeb-sécu! Suit la procédure de pré-nettoyage de Mégataupe STP Bon courage et tiens nous au courant à plus !

Bonjour crazzywanted et bienvenue sur le forum de zeb-sécu! Suit la procédure de pré-nettoyage de Mégataupe STP Bon courage et tiens nous au courant à plus !

Bonjour Myriam95 et bienvenue sur le forum de zeb-sécu! Le nettoyage que tu as fais est surement bien seulement il y a un passage obligé Suit la procédure de pré-nettoyage de Mégataupe STP Bon courage et tiens nous au courant à plus !

Bonjour gab ! Le gros problème sur ton rapport c'est qu'il n'y as pas d'antivirus Si tu as fais la procédure de prénettoyage pourquoi ne pas avoir gardé antivir ? Réinstalle antivir STP ! Ensuite fais ceci : Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes: O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5554A026-7282-4C11-A8F1-652D0599CD02} (NMInstall Control) - http://a14.g.akamai.net/f/14/7141/1d/www.n...ROPE_SILENT.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial Refais un rapport hijackthis pour vérifier que tu as bien installé un antivirus sur ton système et pour vérifier que les actives X ont disparus ! A plus !

Bonsoir pioukaya ! Bon black light ne trouve rien ! On va essayer autre chose ! Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle l'entrée en rouge dans la ligne de la zone de recherche: navipromo - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel. A plus !

Bonsoir bidibullu et bienvenue sur le forum de zeb-sécu! Suit la procédure de pré-nettoyage de Mégataupe STP Bon courage et tiens nous au courant à plus !

Re Voici ce que tu vas devoir faire ! Télécharge ATF Cleaner par Atribune. Démarrer Ewido avec l'icône qui se trouve sur le Bureau. Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme. -Redémarrer en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924 -Vérifier d'avoir accès à tous les fichiers : Maintenant on va supprimer manuellement les fichiers infectieux ! Clique sur démarrer/executer/ Copie/colle Rentre le chemin indiqué en rouge C:\Documents and Settings\All Users\Application Data\TheMagsDashTick\ Le dossier va s'ouvrir Retourne dessus(clique droit /supprimer) Répète l'opération pour celui là C:\Documents and Settings\yann\Application Data\shimaxislive\ Vider la poubelle ! Relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. -Redémarrer en mode normal : -Poster une réponse dans le même sujet (Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!) -Mettre un nouveau rapport HijackThis -Poster le rapport Ewido -Indiquer si le Pc présente encore des dysfonctionnements Refais un rapport panda pour vérifier STP A plus !

Re Bon Panda nous a trouvé du boulot retour dans un instant ! A plus !

Re Avant de continuer peut tu me dire si tu connais ce progamme ? C:\Program Files\PROMT98\ <= ou quelque chose qui ressemble A plus pour la suite !

Bonsoir kirua2150 ! analyse en cours retour dans un instant !

Bonsoir woolfys ! Ok on va continuer comme ceci alors Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial A plus !

Bonjour tout le monde ! Salut pitact Peut tu faire analyser ce fichier STP ? C:\WINDOWS\MagixRec.exe Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!! À faire soumettre ici=> 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur Recherche le fichier en cause Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) Pour le virusscan de jotti et "send" pour virustotal. Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard! communiquer les 2 rapports. Ensuite vire tout ces actives X Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes: O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://agora2.grenet.fr/qp2.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://streamplug.com/StreamPlug/SP.cab O16 - DPF: {556EEC63-31E2-47C3-BF29-DFF799D2FE04} (Remote Access ActiveX Client) - https://secure.logmein.com/activex/RACtrl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/132e44fdb126d0...RdxIE601_fr.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.fr/resources/neutral/con....cab?10,0,910,0 Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked Poste nous un nouveau rapport hijackthis STP A plus !

Bonjour woolfys ! J'aurai bien aimé que tu fasse ce que Pitcat t'as demandé Tu peut le faire STP ? A plus !

Bonjour yann69 ! C'est un rapport option 1 que tu as mis mais c'est pas grave il ne montre plus rien donc j'en déduis que le nettoyage a bien été fait Non ce n'est pas la peine ! Analyse du rapport en cours retour dans un instant ! Edit : Bon le rapport est Ok ! Peux-tu faire s'il te plait un scan en ligne?=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrives pas : tutorial Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. A plus !

Bonjour pioukaya ! Salut pitcat Effectivemnt mailskinner a été trouvé par Bitdefender ! Ce edgaccess te reste coller comme un pot de colle !!! Alors on va continuer les investigations ! Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Prière de poster les rapports suivant dans ta prochaine réponse : BlackLight Nouveau rapport HijackThis! Bon courage, et @+

Bonsoir gekbest ! Ok pas de problème ! A la prochaine et pense à cloturer ton sujet en mettant résolu devant !

Re Merci pour l'astuce Effectivement c'est bien plus rapide Pour ceux que cela interresse le fichier Sav.reg se trouve ici C:\Documents and Settings\Administrateur\Sav.reg A plus !

Wow c'est super j'avais donc eu une bonne intuition ! Quand je fais un regfix je fais sauvegarder le registre grace à zeb utility donc pour l'utilisateur lamba pas besoin de triffouiller dans la bdr plutot cool non ? En plus cela fais connaitre le log ! Tu en pense quoi ? A plus !

Bonsoir Sebdraluorg ! J'ai une petite question à te poser à propos de ce prog ! Mais je pense avoir déjà la réponse mais bon je suis pas sur alors ! Quand on le lance il propose de faire une sauvegarde du registre j'imagine qu'il ne sauvegarde pas tout le registre utopie quand tu nous tiens ! Mais seulement les clées changées non ? Je te remercie d'avance ! A la prochaine !

Bonsoir woolfys ! Salut pitcat En plus de ce que pitcat te demande. Recherche ce fichier et fais le analyser STP C:\WINDOWS\System\winlogon.exe Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!! À faire soumettre ici=> 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur Recherche le fichier en cause Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) Pour le virusscan de jotti et "send" pour virustotal. Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard! communiquer les 2 rapports. A plus !

Bonsoir pioukaya ! Comme te la dis Qc001 la clé est orpheline donc plus infectieuse tu peut considérer ton système non infecté mais propre je sais pas Si tu est partant on peut continuer mais ca va étre long et douloureux Voir même risqué As toi de voir ! A plus !

Bonsoir kirua2150 ! Bien ! Bon je pensait t'avoir expliquer mais j'ai pas du étre claire Ton rapport option 1 est bon ! l'infection a été supprimée donc on arréte là avec smitfraufix ! tu as bien bossé même si je pense qu'il y a du avoir une erreur de manip Peut tu refaire un rapport hijackthis STP ? A plus !