regis56
-
Compteur de contenus
5 351 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Messages posté(e)s par regis56
-
-
Bonjour woolfys !
Tes rapports sont Ok !
Par contre je vois sur ton rapport un reste de bitdefender que tu as du désinstaller non ?
Si c'est le cas fais ceci
Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:
BitDefender Virus Shield
Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK
Répete l'opération avec celui là
BitDefender Communicator
Lancer Hijackthis, choisir Open the Misc.Tools section
la fenêtre "Configuration" va s'ouvrir
cliquer sur (b]Delete a NT service...[/b]
la fenêtre "Delete a Windows NT service" va s'ouvrir
Entrer dans la zone de dialogue :
VSSERV
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
cliquer OK
Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
Cliquer NO
Répète l'opération pour celui là
XCOMM
Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked
-Faire un scan antivirus en ligne à titre de vérification
http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)
-Poster le(s) rapport(s) trendmicro
A plus !
-
Bonjour pioukaya !
jai un mal fou à pouvoir te répondre je suis deconnectée à chaque fois!!!Je ne sais pas d'ou vient ton problème ton Pc était désinfecté la dernière fois ?
Là ce qu'on fais c'est du fignolage
Tu peut quand même essayer ceci pour ta connexion TCP optimizer
http://telechargement.zebulon.fr/73-TCP-Optimizer.html
Sinon pour la suite peut tu faire ceci
- double clique sur RegSearch.exe
- copie colle l'entrée en rouge dans la ligne de la zone de recherche:
mslagent
navmpc
- rien dans la ligne "Enter string to exclude from results"
- clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
- copie-colle le contenu de la fenêtre dans un post, ici
- ferme le bloc-notes
- ferme RegSearch par Cancel.
On va vérifier que tout va bien
Peux-tu faire s'il te plait un scan en ligne?=>
-Faire un scan en ligne ici et coller le rapport.
Panda si tu n'y arrives pas : tutorial
Refais un rapport hijackthis aussi STP
A plus !
-
Bonjour franckych et bienvenue sur le forum de zeb-sécu!
Suit la procédure de pré-nettoyage de Mégataupe
STPBonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.
Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz
, il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :
Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)
Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)
Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis
Phase 4 : envoi du rapport HijackThis pour analyse
----------
HIJACKTHIS
Procédure préliminaire à toute demande d'analyse de rapport HijackThis.
Phase 1
- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :
http://speedweb1.free.fr/frames2.php?page=tuto5
nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème
- télécharger la dernière version d'HijackThis (
http://www.merijn.org/files/hijackthis.zip
ou
http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)
Phase 2
- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "
Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )
-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur
- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :
Menu "Outils", "Option des dossiers", onglet "Affichage" :
Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
Phase 3
- nettoyage rapide du disque dur :
Démarrer / Exécuter / taper CleanMgr et valider
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers
C:\TEMP
C:\WINDOWS\TEMP
C:\Documents And Settings\Session utilisateur\Local Settings\Temp
C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
Vider la corbeille
- recherche et élimination des parasites avec Antivir
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
- désinstallation d'Antivir
-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
- Redémarrer le PC en mode normal
- installation et utilisation d'HijackThis
-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
-- arrêter tous les programmes en cours et fermer toutes les fenêtres
-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).
Phase 4
- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.
- attendre l'analyse et la réponse.
Bon courage et tiens nous au courant à plus !
-
Bonjour crazzywanted et bienvenue sur le forum de zeb-sécu!
Suit la procédure de pré-nettoyage de Mégataupe
STPBonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.
Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz
, il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :
Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)
Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)
Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis
Phase 4 : envoi du rapport HijackThis pour analyse
----------
HIJACKTHIS
Procédure préliminaire à toute demande d'analyse de rapport HijackThis.
Phase 1
- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :
http://speedweb1.free.fr/frames2.php?page=tuto5
nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème
- télécharger la dernière version d'HijackThis (
http://www.merijn.org/files/hijackthis.zip
ou
http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)
Phase 2
- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "
Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )
-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur
- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :
Menu "Outils", "Option des dossiers", onglet "Affichage" :
Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
Phase 3
- nettoyage rapide du disque dur :
Démarrer / Exécuter / taper CleanMgr et valider
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers
C:\TEMP
C:\WINDOWS\TEMP
C:\Documents And Settings\Session utilisateur\Local Settings\Temp
C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
Vider la corbeille
- recherche et élimination des parasites avec Antivir
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
- désinstallation d'Antivir
-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
- Redémarrer le PC en mode normal
- installation et utilisation d'HijackThis
-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
-- arrêter tous les programmes en cours et fermer toutes les fenêtres
-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).
Phase 4
- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.
- attendre l'analyse et la réponse.
Bon courage et tiens nous au courant à plus !
-
Bonjour Myriam95 et bienvenue sur le forum de zeb-sécu!
Le nettoyage que tu as fais est surement bien seulement il y a un passage obligé
Suit la procédure de pré-nettoyage de Mégataupe
STPBonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.
Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz
, il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :
Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)
Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)
Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis
Phase 4 : envoi du rapport HijackThis pour analyse
----------
HIJACKTHIS
Procédure préliminaire à toute demande d'analyse de rapport HijackThis.
Phase 1
- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :
http://speedweb1.free.fr/frames2.php?page=tuto5
nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème
- télécharger la dernière version d'HijackThis (
http://www.merijn.org/files/hijackthis.zip
ou
http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)
Phase 2
- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "
Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )
-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur
- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :
Menu "Outils", "Option des dossiers", onglet "Affichage" :
Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
Phase 3
- nettoyage rapide du disque dur :
Démarrer / Exécuter / taper CleanMgr et valider
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers
C:\TEMP
C:\WINDOWS\TEMP
C:\Documents And Settings\Session utilisateur\Local Settings\Temp
C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
Vider la corbeille
- recherche et élimination des parasites avec Antivir
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
- désinstallation d'Antivir
-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
- Redémarrer le PC en mode normal
- installation et utilisation d'HijackThis
-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
-- arrêter tous les programmes en cours et fermer toutes les fenêtres
-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).
Phase 4
- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.
- attendre l'analyse et la réponse.
Bon courage et tiens nous au courant à plus !
-
Bonjour gab !
Le gros problème sur ton rapport c'est qu'il n'y as pas d'antivirus
Si tu as fais la procédure de prénettoyage pourquoi ne pas avoir gardé antivir ?
Réinstalle antivir STP !
Ensuite fais ceci :
Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5554A026-7282-4C11-A8F1-652D0599CD02} (NMInstall Control) - http://a14.g.akamai.net/f/14/7141/1d/www.n...ROPE_SILENT.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked
Peux-tu faire s'il te plait un scan en ligne?=>
-Faire un scan en ligne ici et coller le rapport.
Panda si tu n'y arrives pas : tutorial
Refais un rapport hijackthis pour vérifier que tu as bien installé un antivirus sur ton système et pour vérifier que les actives X ont disparus !
A plus !
-
Bonsoir pioukaya !
Bon black light ne trouve rien !
On va essayer autre chose !
Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php
- dézippe dans un répertoire dédié tel que C:\Program Files
- double clique sur RegSearch.exe
- copie colle l'entrée en rouge dans la ligne de la zone de recherche:
navipromo
- rien dans la ligne "Enter string to exclude from results"
- clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
- copie-colle le contenu de la fenêtre dans un post, ici
- ferme le bloc-notes
- ferme RegSearch par Cancel.
A plus !
-
Bonsoir bidibullu et bienvenue sur le forum de zeb-sécu!
Suit la procédure de pré-nettoyage de Mégataupe
STPBonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.
Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz
, il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :
Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)
Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)
Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis
Phase 4 : envoi du rapport HijackThis pour analyse
----------
HIJACKTHIS
Procédure préliminaire à toute demande d'analyse de rapport HijackThis.
Phase 1
- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.
- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :
http://speedweb1.free.fr/frames2.php?page=tuto5
nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème
- télécharger la dernière version d'HijackThis (
http://www.merijn.org/files/hijackthis.zip
ou
http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)
Phase 2
- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)
-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].
NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "
Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )
-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur
- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :
Menu "Outils", "Option des dossiers", onglet "Affichage" :
Activer la case : "Afficher les fichiers et dossiers cachés"
Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"
Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"
Puis, cliquer sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
Phase 3
- nettoyage rapide du disque dur :
Démarrer / Exécuter / taper CleanMgr et valider
Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers
C:\TEMP
C:\WINDOWS\TEMP
C:\Documents And Settings\Session utilisateur\Local Settings\Temp
C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
Vider la corbeille
- recherche et élimination des parasites avec Antivir
lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
- désinstallation d'Antivir
-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).
- Redémarrer le PC en mode normal
- installation et utilisation d'HijackThis
-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
-- arrêter tous les programmes en cours et fermer toutes les fenêtres
-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).
Phase 4
- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.
- attendre l'analyse et la réponse.
Bon courage et tiens nous au courant à plus !
-
Re
Voici ce que tu vas devoir faire !
Télécharge ATF Cleaner par Atribune.
Démarrer Ewido avec l'icône qui se trouve sur le Bureau.
Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.
-Redémarrer en mode sans échec :
(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].
NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924
-Vérifier d'avoir accès à tous les fichiers :
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :Activer l'option : Afficher les fichiers et dossiers cachés
Désactiver l'option : Masquer les extensions des fichiers dont le type est connu
Désactiver l'option : Masquer les fichiers protégés du système d'exploitation
Puis cliquer sur "Appliquer à tous les dossiers"
Maintenant on va supprimer manuellement les fichiers infectieux !
Clique sur démarrer/executer/
Copie/colle
Rentre le chemin indiqué en rouge C:\Documents and Settings\All Users\Application Data\TheMagsDashTick\
Le dossier va s'ouvrir
Retourne dessus(clique droit /supprimer)
Répète l'opération pour celui là
C:\Documents and Settings\yann\Application Data\shimaxislive\
Vider la poubelle !
Relancer Ewido et cliquer sur scanner puis sur scan complet du système.
Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer
(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher
"Effectuer cette action avec toutes les infections".
A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
-Redémarrer en mode normal :
-Poster une réponse dans le même sujet
(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)
-Mettre un nouveau rapport HijackThis
-Poster le rapport Ewido
-Indiquer si le Pc présente encore des dysfonctionnements
Refais un rapport panda pour vérifier STP
A plus !
- Clique Firefox au haut et choisis : Select All
-
Re
Bon Panda nous a trouvé du boulot retour dans un instant !
A plus !
-
Re
Avant de continuer peut tu me dire si tu connais ce progamme ?
C:\Program Files\PROMT98\ <= ou quelque chose qui ressemble
A plus pour la suite !
-
Bonsoir kirua2150 !
analyse en cours retour dans un instant !
-
-
Bonjour tout le monde !
Salut pitact
Peut tu faire analyser ce fichier STP ?
C:\WINDOWS\MagixRec.exe
Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!
À faire soumettre ici=>
1- http://virusscan.jotti.org/
2- http://www.virustotal.com/flash/index_en.html
Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur
Recherche le fichier en cause
Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)
Pour le virusscan de jotti et "send" pour virustotal.
Le scan de ce fichier va débuter.
Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>
"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!
communiquer les 2 rapports.
Ensuite vire tout ces actives X
Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://agora2.grenet.fr/qp2.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://streamplug.com/StreamPlug/SP.cab
O16 - DPF: {556EEC63-31E2-47C3-BF29-DFF799D2FE04} (Remote Access ActiveX Client) - https://secure.logmein.com/activex/RACtrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/132e44fdb126d0...RdxIE601_fr.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.fr/resources/neutral/con....cab?10,0,910,0
Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked
Poste nous un nouveau rapport hijackthis STP
A plus !
-
Bonjour woolfys !
J'aurai bien aimé que tu fasse ce que Pitcat t'as demandé
Tu peut le faire STP ?
A plus !
-
Bonjour yann69 !
C'est un rapport option 1 que tu as mis mais c'est pas grave il ne montre plus rien donc j'en déduis que le nettoyage a bien été fait
option n°3 ou pas icon_smile.gif ?Non ce n'est pas la peine !
Analyse du rapport en cours retour dans un instant !
Edit :
Bon le rapport est Ok !
Peux-tu faire s'il te plait un scan en ligne?=>
-Faire un scan en ligne ici et coller le rapport.
Panda si tu n'y arrives pas : tutorial
Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.
A plus !
-
Bonjour pioukaya !
Salut pitcat
Effectivemnt mailskinner a été trouvé par Bitdefender !
Ce edgaccess te reste coller comme un pot de colle !!!
Alors on va continuer les investigations !
Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~
Prière de poster les rapports suivant dans ta prochaine réponse :
BlackLight
Nouveau rapport HijackThis!
Bon courage, et @+
-
Bonsoir gekbest !
Ok pas de problème !
A la prochaine et pense à cloturer ton sujet en mettant résolu devant !
-
Bonsoir woolfys !
Salut pitcat
En plus de ce que pitcat te demande.
Recherche ce fichier et fais le analyser STP
C:\WINDOWS\System\winlogon.exe
Assure toi d'avoir accès à tous les fichiers, certains fichiers/dossiers sont cachés!!
À faire soumettre ici=>
1- http://virusscan.jotti.org/
2- http://www.virustotal.com/flash/index_en.html
Lorsque tu cliques sur ces deux adresses, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur
Recherche le fichier en cause
Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre)
Pour le virusscan de jotti et "send" pour virustotal.
Le scan de ce fichier va débuter.
Tu n'as plus qu'à sélectionner puis copier /coller l’analyse. Il est possible que tu reçoives ce message =>
"Server is extremely busy at the moment. Please try again later."Auquel cas il faut retenter le coup plus tard!
communiquer les 2 rapports.
A plus !
-
Bonsoir pioukaya !
Comme te la dis Qc001 la clé est orpheline donc plus infectieuse tu peut considérer ton système non infecté mais propre je sais pas
Si tu est partant on peut continuer mais ca va étre long et douloureux
Voir même risqué
As toi de voir !
A plus !
-
Bonsoir kirua2150 !
Bien !
Et si tu me demandes ensuite de redémarrer en mode SE ,de faire l'option 2 , dire oui à tous puis redémarrer l'ordi en mode normal et faire l'option 1 puis poster le rapport je l'ai déja fais aussi mais ca ne change rien j'obtiens le meme rapport.Je t'assure que j'ai fais cette manip sans me tromper au moins 3-4 fois
Bon je pensait t'avoir expliquer mais j'ai pas du étre claire
Ton rapport option 1 est bon !
l'infection a été supprimée donc on arréte là avec smitfraufix !
tu as bien bossé même si je pense qu'il y a du avoir une erreur de manip
Peut tu refaire un rapport hijackthis STP ?
A plus !
-
Bonsoir yann69 !
C'est grave docteur icon_wink.gif ?Ton rapport montre une infection on va s'en occuper !!
option 2
Utilisation ----- option 2 -Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage
ou tuto Symantec).
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport plus un rapport hijackthis sur le forum.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
A plus !
-
Bonsoir tripack1 !
Ton rapport hijackthis à l'air Ok !
On va quand même enlever les actives X
Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Sha...t//DexiaIIA.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138264477718
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.be/net/import/ImageUploader3.cab
Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked
Pas grave pour panda essai celui là
-Faire un scan antivirus en ligne à titre de vérification
http://housecall65.trendmicro.com/ (fire fox ou IE)
Eventuellement faire celui-ci
http://www.trendmicro.com/spyware-scan/ (IE avec active x seulement)
A la fin du scan, sauvegarder le rapport sur le Bureau.(cliquer sur l'onglet Résultats/ puis cliquer sur Edition/tout sélectionner/copier puis ouvrir un fichier texte et coller la sélection dedans)
-Poster le(s) rapport(s) trendmicro
A plus !
-
Bonsoir yann69 !
Ok peut tu faire ceci STP
option 1
(WinXP, Win2K)
Télécharger SmitfraudFix de S!Ri
sur http://siri.urz.free.fr/Fix/SmitfraudFix.zipDézipper la totalité de l'archive smitfraudfix.zip
Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
A plus !
Salles bêtes :'(
dans Analyses et éradication malwares
Posté(e)
Bonjour tout le monde !
Comme je passe par là
Peut tu faire ceci
option 1
(WinXP, Win2K)
Télécharger SmitfraudFix de S!Ri
sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip
Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
A plus !