wong

Bonjour franck56000, Hélas, non c'est pas fini, et tu as encore des fichiers infectés. Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre la cible ( du lien ) sous... et enregistre-le sur ton bureau. Ferme toutes les fenêtres y compris celle de ton navigateur. Double-clique sur le fichier Navilog1.exe ( il se peut que ".exe" n'apparaisse pas et que tu n'ais que Navilog1 ) pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement ( Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau ). Après le choix de la langue et les messages, tu arrives au menu principal. Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ). La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes ( de 5 à 10min ), ne touche à rien. Patiente jusqu'au message : *** Analyse Terminé le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir avec le rapport. Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail, puis Disque C: et enfin double-clique sur fixnavi.txt Copie/Colle le contenu complet de ce rapport dans ta prochaine réponse Pour t'aider voici un tuto en images : http://www.malekal.com/Adware.Magic_Control.html Cordialement.

RE king HijackThis ne dois pas être placé dans un réprtoire temporaire. Désinstalle HijackThis ( pour supprimer toutes les entrées du Registre ) : Lance HijackThis > Open the Misc Tools > Dernier bouton : Uninstall HijackThis & exit ( pour le voir utilise l'ascenseur ). Vérifie qu'il n'est plus présent en suivant le chemin indiqué : C:\DOCUME~1\philippe\LOCALS~1\Temp\~AceTemp\hijackthis\HijackThis.exe Si encore présent : Supprime-le. Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux ) Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ). Clique sur Install ensuite sur I Accept Une fois l'installation terminée, ferme HijacThis. Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185 Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur. 1°) Télécharge LSPfix sur ton bureau : http://www.cexx.org/lspfix.htm ( 1 ) ou depuis ce site éventuellement : http://pchelpbordeaux.free.fr/logiciels.html 2°) Télécharge FixWareout ( de LonnyRJones ) d'un de ces deux sites : http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Enregistre le fichier sur le Bureau. Ferme toutes les fenêtres de programme. Fais un double clic sur FixWareout.exe pour lancer le programme. clique sur Next clique sur Install Assure toi que "Run fixit" est activé Clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur : Fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Vérifie que HijackThis fera des sauvegardes: Dans Config, coche Make backups before fixing items" , puis clique sur le bouton Back Clique sur Do a system scan only et Coche les lignes suivantes: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O17 - HKLM\System\CCS\Services\Tcpip\..\{1EE29CCF-D5B1-4B3A-99AF-627C48AD75D9}: NameServer = 85.255.115.29,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{47849F83-7662-4DF5-BD62-7307660666F9}: NameServer = 85.255.115.29,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{82D6642F-D3F7-493F-AD99-B5E6BBB1883A}: NameServer = 85.255.115.29,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{D653B3EA-006D-4A30-B516-BBFE4F991442}: NameServer = 85.255.115.29 85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF4574C0-D187-484F-9EAA-912BD0BE4CF1}: NameServer = 85.255.115.29,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF45D8FE-83E1-47E5-9CE4-771E4B9A8431}: NameServer = 85.255.115.29,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.170 Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. Au final, Poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis. Attention, si ( et seulement si ) durant la procedure tu perds ta connexion utilise LSPfix comme cela : Démarre LSPfix Coche "I know what I'm doing" Clique sur "Finish". Redémarre ton pc J'attends tes 2 rapports ( celui de FixWareout et celui de HijackThis ). Cordialement.

Bonjour king, Tu es déjà victime de l'infection Wareout. De plus, ton HijackThis est mal placé. Retour dans 20' Cordialement.

Bonjour cestminou, Bravo à toi. 1°) Antivir : Tu peux le configurer encore mieux. Tu coche le mode Expert. Dans la fenêtre de gauche tu cliques sur Extended threat categories et dans la partie droite tu coches toutes les cases. Primary action...................: interactive <== ( a voir pour automatique ) Secondary action.................: ignore Scan master boot sector..........: off <== ( a voir pour on ) Search for rootkits..............: off <== on Scan all files...................: Intelligent file selection <== All files File heuristic...................: medium <== A mettre sur High 2°) Kerio : Pour commencer tu pourrais prendre Zone Alarm ( en français et plus facile à configurer ). 3°) Mise à jour de XP : Il faut mettre à jour Windows XP ( SP1 et SP2 plus tous les correctifs qui l'ont suivi ) : Windows Update ou Microsoft Update. Attention ça va être long. Courage.

RE franck56000, Je vais te faire repasser Clean en mode normal ( attention c'est l'option 1 ) : Clean Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers. Double-clic sur clean. Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier. Clean va travailler. Un rapport va etre génèré, Copie/Colle le contenu entier du rapport dans ta prochaine réponse. Fichier findlopjob Création du fichier findlopjob.bat Faire un copier/coller de la ligne ci-dessous ( dans la zone "Code" ) dans le Bloc-note ( sans le mot Code ) : dir %Windir%\tasks /a h > c:\filelopjob.txt Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée. Enregistrer le fichier sur le Bureau sous le nom de findlopjob.bat Attention: l'extension doit être .bat, choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." Si l'extension est .bat.txt, renommer le fichier en .bat Utilisation du fichier findlopjob.bat Faire un double clic sur findlopjob.bat ( une petite fenêtre à fond noir va apparaître puis disparaître très rapidement ). Résultat Copie/Colle le contenu du fichier C:\filelopjob.txt dans ta prochaine réponse. Cordialement.

Bonjour cestminou, Tu n'a pas à t'excuser, tu viens quand tu peux et quand tu veux. Je te conseille de désinstaller Norton avant d'installer Kerio et Antivir. NOTE : Comme tu n'as pas les mises à jour de XP ( SP1 et SP2 ) tu ne peux pas utiliser le Pare-feu de XP. Enregistrer les pages des Tutos : Tu les sélectionnes ( Copier/Coller ) et tu les enregistres sur ton PC avec NOTEPAD / WORDPAD > Enregistrer sous > Type : Document au format RTF. Comme NORTON est une " pieuvre ", j'ai une méthode : 1°) Dans Ajout/Suppression de programmes : Désinstaller tout ce qui concerne Norton ( tu dois trouver plusieurs programmes ). 2°) Redémarrer ton PC. 3°) Utiliser l'outil de Symantec ( je t'ai donné le lien ). 4°) Redémarrer ton PC. 5°) Utiliser jv16 comme indiqué. Pour ta connexion Internet : En relisant tes posts, il me semble que tu as fait ta connexion en utilisant 2 kits ( celui de Wanadoo et celui d'Orange ) ? Peut-être tes problèmes viennent-ils de là. Cordialement.

Bonjour franck56000, 1°) Téléchargement d'utilitaires 1.1 - Télécharge Clean ( de Malekal ) : http://www.malekal.com/download/clean.zip Enregistre-le sur ton bureau. Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici. Cela va créer un dossier clean. 1.2 - Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Enregistre-le sur ton bureau. 1.3 - Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1 Enregistre-le sur ton bureau. 1.4 - Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/ Enregistre-le sur ton bureau. Lance le depuis l'icône presente sur ton bureau. Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions. Clique sur mise à jour, commencer la mise à jour. Clique sur analyse puis sur paramètres. Clique sur actions recommandées puis sur quarantaine. Ferme le programme. 2°) Redémarre en mode sans échec Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure. Clique sur Démarrer Clique sur Arrêter l'ordinateur Dans la fenêtre qui s'ouvre : clique sur " Redémarrer " Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ). Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul ) Appui dur la touche " ENTRÉE " Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ). Clique sur ta session normale : ton nom (Administrateur ) Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php 2.1 - Nettoyage avec HijackThis Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {AC2E8306-D24E-4082-8669-7781499F4E03} - (no file) O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - C:\Program Files\Video Add-on Setup\isfmdl.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VirusLocker] C:\Program Files\VirusLocker\VirusLocker.exe /h O4 - HKLM\..\Run: [NI.UGA6PV_0001_N108M0207] "c:\documents and settings\martine\application data\install_fr[1].exe" -nag O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis. 2.2 - Nettoyage avec Clean Double-clic sur clean. Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier. Clean va travailler. Un rapport va etre génèré, Copie/Colle le contenu entier du rapport dans ta prochaine réponse 2.3 - Nettoyage avec SmitFraudFix: Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Double clique sur SmitfraudFix.exe Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection. A la question: Voulez-vous nettoyer le registre ? répond O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répond O (oui) et pressez Entrée pour remplacer le fichier corrompu. Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt Copie/Colle le rapport dans ta prochaine réponse 2.4 - Nettoyage avec AVG Anti-Spyware Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware. Double-clique ATF Cleaner.exe afin de lancer le programme. Main correspond à IE Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu principal, afin de fermer le programme. Lance AVG Anti-Spyware Clique sur scanner, puis sur scan complet du système. Si des fichiers malveillants sont trouvés : Clique sur Appliquer toutes les actions Clique sur enregistrer le rapport d'analyse. Copie/Colle le rapport dans ton prochain message Pour t'aider tu as deux tutos à ta disposition: ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html 3°) Redémarre en mode normal Lance HijackThis Copie/Colle un nouveau rapport HJT dans ta prochaine réponse J'attens 4 rapports ( celui de Clean, celui de SmitFrausFix, celui de AVG AS et celui de HijackThis ). Cordialement.

RE TheGhostRider, Pour désactiver les processus au démarrage, personnellement je préfère passer par msconfig > Onglet Démarrage et décocher les cases. Pourquoi : ça permet de recocher facilement les cases une par une si besoin, sans craindre de perdre un backup ( comme avec HijackThis par exemple ). Cordialement.

RE franck56000, Le temps que je regarde ton rapport, tu peux m'en dire un peu plus sur ton Trojan : Comment le sais-tu ? Où est-il situé ? Quels sont les problèmes que tu rencontres ? Cordialement.

RE, Pour ctfmon : A moins que tu n'utilises les langues asiatiques tu peux le désactiver sans aucun problème. J'ai 3 PC ( 2 avec Office 2003 et 1 avec Office 97 ) et ctfmon est désactivé. De toutes façons les manipulations proposées sont totalement réversibles ( donc aucune inquiétude ). Pour les lignes 04 (Intel ) : Si tu passes par msconfig > Onglet Démarrage pour décocher les 2 cases, c'est aussi réversible sans difficulté. Je me permettrais pas de donner des manipulations qui pourraient te faire perdre quelque chose. Si tu veux la procédure pour msconfig, tu demandes. Cordialement.

Bonjour franck56000 et Bienvenue, Télécharge Hijackthis V 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux ) Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ). Clique sur Install ensuite sur I Accept Clique sur Do a scan system and save log file Cela va t'ouvrir un rapport dans le Bloc-note à la fin du scan. Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée. Enregistre le fichier sous le nom HJT1.txt. Copie/Colle tout son contenu dans ta prochaine réponse. Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185 Cordialement.

RE TheGhostRider, Je ne vois rien de mauvais dans ton rapport. Tu peux l'optimiser un peu. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens Si ta page de démarrage d'IE est Google ( comme j'ai pu le voir ) tu peux fixer les lignes ci-dessus avec HijackThis. O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe Ces 2 lignes coorespondent à des processus Intel. Tu peux les décocher avec msconfig > Onglet Démarrage ( si celà ne te convient pas tu pourras toujours les recocher ). O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe Le cas de ctfmon.exe : ( dont le nom complet est Alternative User Input Services ) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels de reconnaissance de la voix ( Speech recognition ), les logiciels de reconnaissance d'écriture, les claviers braille ou toute alternative au clavier. Il fait partie de la suite Microsoft Office. Il active la barre de language Microsoft Office. C'est un processus non essentiel, qui peut être arrêté : http://support.microsoft.com/kb/282599/fr Pour pouvoir supprimer ctfmon.exe au démarrage, tu dois faire avant : Panneau de configuration > Options régionales et linguistiques > Langues > Détails > Barre de langue > Cocher la case " Arrêtez les services de texte avancés ". Après tu peux décocher la case dans l'Onglet "Démarrage" de msconfig. O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL Eléments et boutons additionnels d'IE. Personnellement sur mes PC j'ai fixé ces lignes ( à toi de voir ). O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Les lignes 09 sont des boutons ou éléments additionnels de IE. Network Diagnostic = Outil permettant le diagnostic de ton réseau ( encore faut-il comprendre ).. Explication : http://support.microsoft.com/kb/914440/fr Personnellement sur mes PC j'ai fixé ces lignes ( à toi de voir ). Cordialement.

Bonjour, Je te réponds dans 15' Cordialement.

Bonjour samsam1, Le rapport DiagHelp montre encore les logiciels P2P, les cracks, et pour moi des traces de Lop.com : c:\Documents and Settings\famille\Application Data\support name city\BIB CLOSE CORN.exe c:\Documents and Settings\famille\Application Data\support name city\drv frag dead.exe c:\Documents and Settings\samladen\.limewire\.NetworkShare\LimeWireWin4.14.8.exe c:\Documents and Settings\samladen\Application Data\support name city\azgxtcae.exe c:\Documents and Settings\samladen\Application Data\support name city\bpomflra.exe c:\Documents and Settings\samladen\Application Data\support name city\bvssmqbc.exe c:\Documents and Settings\samladen\Application Data\support name city\komlrbpf.exe c:\Documents and Settings\samladen\Application Data\support name city\orvsiona.exe c:\Documents and Settings\samladen\Application Data\support name city\tczxuilu.exe c:\Documents and Settings\samladen\Application Data\support name city\zunqdeix.exe Télécharge Clean ( de Malekal ) : http://www.malekal.com/download/clean.zip Enregistre-le sur ton bureau. Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici. Cela va créer un dossier clean. Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers. Double-clic sur clean. Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier. Clean va travailler. Copie/Colle le contenu entier du rapport dans ta prochaine réponse Fais un scan en ligne avec Kaspersky : Pour effectuer les scans, ferme toute les pages internet sauf celle du scan, désactive ton antivirus, logiciels de protections ( Tea Timer par exemple ) et logiciels pouvant bloquer les popups ( barres Google, barres Yahoo etc..) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien : http://cybersecurite.xooit.com/t123-Les-co...les-ActiveX.htm Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas !. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne Scan le poste de travail Copie/colle le rapport du scan dans ta prochaine réponse Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda : Fais un scan avec panda en désactivant ton antivirus pendant le scan! (Si tu es perdu, tu peux suivre cette aide pour les scans en ligne) Copie/colle le rapport du scan dans ta prochaine réponse J'attends tes 2 rapports. Cordialement.

Bonjour legemmois, Pour répondre clique sur le bouton REPONDRE situé en bas, entre FLASH et NOUVEAU ( celà évite de recopier le message précédent ). Tu ne m'as pas répondu au sujet des fenêtres. 1°) Téléchargement d'utilitaires : Télécharge le fichier FixVundo.exe ( de Symantec ) : http://securityresponse.symantec.com/avcenter/FixVundo.exe Enregistre-le sur ton bureau. Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1 Enregistre-le sur ton bureau. Télécharge AVG Anti-Spyware ( de ewido/grisoft ) : http://www.ewido.net/en/download/ Enregistre-le sur ton bureau. Lance le depuis l'icône presente sur ton bureau. Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions. Clique sur mise à jour, commencer la mise à jour. Clique sur analyse puis sur paramètres. Clique sur actions recommandées puis sur quarantaine. Ferme le programme. 2°) Redémarre en mode sans échec Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure. Clique sur Démarrer Clique sur Arrêter l'ordinateur Dans la fenêtre qui s'ouvre : clique sur " Redémarrer " Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ). Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul ) Appui dur la touche " ENTRÉE " Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ). Clique sur ta session normale : ton nom (Administrateur ) Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php 2.1 - FixVundo.exe Double clique sur FixVundo.exe pour lancer l'outil de suppression. Clique sur Démarrer pour commencer la procédure puis laissez l'outil s'exécuter. Lorsque l'outil a fini, un message apparaît t'indiquant si l'ordinateur est infecté par Trojan.Vundo. L'outil affiche des résultats : Copie/Colle ces résultats dans ta prochaine réponse 2.2 - Nettoyage pour utiliser AVG Anti-Spyware Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware. Double-clique ATF Cleaner.exe afin de lancer le programme. Main correspond à IE Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu principal, afin de fermer le programme. 2.3 - Lance AVG Anti-Spyware Clique sur scanner, puis sur scan complet du système. Si des fichiers malveillants sont trouvés : Clique sur Appliquer toutes les actions Clique sur enregistrer le rapport d'analyse. Colle le rapport dans ton prochain message Pour t'aider tu as deux tutos à ta disposition: ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html 3°) Redémarre en mode normal J'attends 2 rapports ( celui de FixVundo et celui de AVG AS ). Cordialement.

RE legemmois, Hello Zonk, Tu as désinstallé Norton ( il te reste des traces, mais on verra cela après ). Important : il te faut obligatoirement un Pare-feu. Active celui de XP pour l'instant. VundoFix a bien travaillé mais les dernières variantes de ce Trojan sont assez coriaces. Il reste encore des fichiers. Télécharge VirtumundoBeGone ( Secured2k ) : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe Enregistre-le sur ton bureau. Lance VirtumundoBeGone en double-cliquant sur son icône. Démarre l'analyse en cliquant sur Start. A la fin de l'analyse, le système redémarrera automatiquement. NOTE : Si un message Ecran bleu Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu. Un rapport d'analyse "VBG.txt" est disponible dans le dossier. Copie/Colle le rapport complet dans ta prochaine réponse HijackThis Lance HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {51E37CEE-C679-4A93-9643-E5AB0659A63E} - C:\WINDOWS\system32\awtss.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis. Copie/Colle un nouveau rapport HJT dans ta prochaine réponse J'attends 2 rapports ( celui de VirtumoundoBeGone et celui de HijackThis ). Tu as indiqué dans ton 1er message que tu avais un multi-fenêtrage : Est-ce que ce ne sont pas des fenêtres intempestives ? Cordialement

RE legemmois et Bienvenue, Tu as 2 Antivirus sur ton PC ( Avast et Norton ). Il faut en désinstaller un ( risque de conflit ). A toi de choisir. D'autre part tu utilises une version Beta de HijackThis ( on verra après ). 1°) TéléchargeVundoFix de ATribune : http://www.atribune.org/ccount/click.php?id=4 Enregistre le fichier sur ton Bureau. Ferme tous les programmes: il va y avoir arrêt du PC. Double-clique VundoFix.exe afin de le lancer. Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse. Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "Clique sur le bouton Scan for Vundo". 2°) Lance HijackThis Copie/Colle un nouveau rapport HJT dans ta prochaine réponse Cordialement

Bonsoir legemmois, Etude de ton rapport, retour dans 15 ' Cordialement.

Bonjour capichef, L'infection Lop/CiD ne vient jamais seule, elle est toujours installée par un programme. Supprime le fichier tuer-lop.reg de ton PC. Télécharge SDFix (créé par AndyManchesta) : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'installer. Redémarre ton ordinateur en mode sans échec Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure. Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer l'outil. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés, puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumé car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Copie/Colle le contenu du fichier Report.txt dans ta prochaine réponse. Cordialement.

RE capichef, NOTE : Etant donné la longueur de la procédure, je te conseille de l'imprimer ( ou de sélectionner toutes les lignes, puis de copier cette sélection dans un fichier texte sur ton PC ). En mode sans échec tu n'auras pas accès à Internet. Il faut exécuter toutes les étapes sans interruption, dans l'ordre exact indiqué ci-dessous. Si tu ne comprends pas un élément, demande des explications avant de commencer la désinfection. Cette procédure doit être effectuée en ayant ouvert ta session normale : ton nom "Administrateur" ( ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec). Prends ton temps, et fais-le calmement. La procédure n'est pas compliquée. 1°) Suppression de CID Démarrer > Panneau de configuration > Ajout/Suppression de programmes : Recherche CID ou CiDHelp qui doit-être présent. Clique sur Supprimer pour le désinstaller ( une fenêtre va s'ouvrir avec un code. Tape ce code et clique sur UNINSTALL ). 2°) Vérifie d'avoir accès à tous les dossiers/fichiers : Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage : Coche le bouton devant : Afficher les fichiers et dossiers cachés Décoche la case : Masquer les extensions des fichiers dont le type est connu Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation Clique sur : Appliquer à tous les dossiers. 3°) Création du fichier tuer-lop.reg Fais un Copier/Coller des lignes ci-dessous ( dans la zone "Code" ) dans le Bloc-notes ( sans le mot Code ). Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée. Enregistrer le fichier sous le nom de tuer-lop.reg Attention : Il faut une ligne blanche après la dernière ligne ( à faire dans le Bloc-notes ). L'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." Si l'extension est .reg.txt, renommer le fichier en .reg REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Hope Hold"=- 4°) Redémarre en mode sans échec Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure. Clique sur Démarrer Clique sur Arrêter l'ordinateur Dans la fenêtre qui s'ouvre : clique sur " Redémarrer " Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ). Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul ) Appui dur la touche " ENTRÉE " Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ). Clique sur ta session normale : ton nom (Administrateur ) Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php 4.1 - Exécute le fichier tuer-lop.reg Faire un clic droit sur "tuer-lop.reg", puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre. 4.2 - Nettoyage avec HijackThis Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKCU\..\Run: [Hope Hold] C:\DOCUME~1\ADMINI~1\APPLIC~1\Up bits loud\burn about bat.exe Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis. 4.3 - Suppressions manuelles : Dans Poste de travail > Disque local C : Supprime les fichiers/dossiers suivants s'ils sont présents : C:\Documents and Settings\All Users\Application Data\Up bits loud\burn about bat.exe <== ce fichier en rouge C:\Documents and Settings\All Users\Application Data\Up bits loud <== ce dossier en rouge 4.4 - Vide le contenu de la corbeille : 4.5 - Masque les fichiers/dossiers cachés ou protégés Décoche le bouton, et recoche les cases ( voir en 3° ) 5°) Redémarre en mode normal Lance HijackThis Copie/Colle un nouveau rapport HijackThis dans ta réponse Au travail

RE capichef, Pour te faire une procédure pour supprimer Lop.com/CiD, j'ai besoin d'un rapport. Fichier findlopjob Création du fichier findlopjob.bat Faire un copier/coller de la ligne ci-dessous ( dans la zone "Code" ) dans le Bloc-note ( sans le mot Code ) : dir %Windir%\tasks /a h > c:\filelopjob.txt Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée. Enregistrer le fichier sur le Bureau sous le nom de findlopjob.bat Attention: l'extension doit être .bat, choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." Si l'extension est .bat.txt, renommer le fichier en .bat Utilisation du fichier findlopjob.bat Faire un double clic sur findlopjob.bat ( une petite fenêtre à fond noir va apparaître puis disparaître très rapidement ). Résultat Copie/Colle le contenu du fichier C:\filelopjob.txt dans ta prochaine réponse. Cordialement.

Bonsoir capichef et bienvenue, Etude de ton rapport et retour dans 20' Cordialement.

Salut nissart, Si ton PC marche bien, c'est l'essentiel Bonne continuation. Cordialement.

RE alex Ton XP n'est pas à jour. As-tu une raison particulière de ne pas l'avoir fait, car ton PC n'est plus protégé contre les failles de sécutité de Windows. Tu pourras le mettre à jour ( SP2 et toutes les mises à jour qui ont suivies ) après la désinfection. As-tu un Pare-feu ? ( je vois Kaspersky Antivirus, mais pas de Pare-feu ). 1°) Téléchargement d'utilitaires : Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1 Enregistre-le sur ton bureau. Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/ Enregistre-le sur ton bureau. Lance le depuis l'icône presente sur ton bureau. Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions. Clique sur mise à jour, commencer la mise à jour. Clique sur analyse puis sur paramètres. Clique sur actions recommandées puis sur quarantaine. Ferme le programme. 2°) Redémarre en mode sans échec Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure. Clique sur Démarrer Clique sur Arrêter l'ordinateur Dans la fenêtre qui s'ouvre : clique sur " Redémarrer " Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ). Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul ) Appui dur la touche " ENTRÉE " Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ). Clique sur ta session normale : ton nom (Administrateur ) Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI 2.1 - Vérifie d'avoir accès à tous les dossiers/fichiers : Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage : Coche le bouton devant : Afficher les fichiers et dossiers cachés Décoche la case : Masquer les extensions des fichiers dont le type est connu Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation Clique sur : Appliquer à tous les dossiers. 2.2 - Désinstallations Démarrer > Panneau de configuration > Ajout/Suppression de programmes : Vérifie si les programmes ci-dessous sont présents : My Web Search (Smiley Central) My Way Speedbar (Smiley Central) My Way Speedbar (AOL and Yahoo Messengers) (beta users only) My Way Speedbar (Outlook, Outlook Express, et IncrediMail) Search Assistant - My Way Si oui : Clique sur Supprimer, et Coche : Désinstaller 2.3 - Suppressions manuelles : Dans Poste de travail > Disque local C\: Supprime les dossiers suivants s'ils sont présents : C:\Program Files\FunWebProducts <=== ce dossier en rouge C:\Program Files\MyWebSearch <=== ce dossier en rouge 2.4 - Nettoyage avec HijackThis[/color] Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous : R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolba[...]?p=ZNxmk142YYDZ O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/ga[...]ts/y/dot9_x.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/no[...]p1.0.0.15-3.exe Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis. 2.5 - Vide le contenu de la corbeille 2.6 - Masque les fichiers/dossiers cachés ou protégés 2.7 - Nettoyage pour utiliser AVG Anti-Spyware Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware. Double-clique ATF Cleaner.exe afin de lancer le programme. Main correspond à IE Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu principal, afin de fermer le programme. 2.8 - Lance AVG Anti-Spyware Clique sur scanner, puis sur scan complet du système. Si des fichiers malveillants sont trouvés : Clique sur Appliquer toutes les actions Clique sur enregistrer le rapport d'analyse. Colle le rapport dans ton prochain message Pour t'aider tu as deux tutos à ta disposition: ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html 3°) Redémarre en mode normal Lance HijackThis Copie/Colle le rapport dans ta prochaine réponse J'attends 2 rapports ( celui de AVG AS et celui de HijackThis ). Cordialement.

Bonjour alex et bienvenue, Infection MyWebSearch. Etude du rapport et retour à 15 h Cordialement.