oGu

Oui, mais c'est moi qui te conseille de régler Antivir à partir du tuto de Falkra (Falkra n'a rien à voir avec Antivir, il est helper et a rédigé cette aide pour permettre aux internautes de mieux comprendre et configurer Antivir) N'oublie pas le scan Antivir!

Pas évident ton souci...faudra peut-être réparer XP. Quelques vérif' d'usage: - le service de Crypto est-il réglé en mode Automatique et est-il démarré? - les services suivants sont-ils également en mode Auto ET démarrés: Appel de procédure distante Windows Update Service de transfert intelligent en arrière-plan Journal des événements ? Si non, règle-les en conséquence et redémarre. De toute façon, le service de Cryptographie ne doit pas être désactivé ni éteint, même s'il semblerait que sa désactivation permettrait éventuellement de réparer le souci (mais ce n'est pas sûr du tout) D'autres pistes: Microsoft met en cause dans sa FAQ le Net Framework 1: http://support.microsoft.com/?kbid=839174 Tu dois déjà en disposer, mais essaie de le réinstaller: http://support.microsoft.com/kb/885055/ Fais redémarrer ton PC en Mode sans échec: connecte-toi alors avec ton compte ADMINISTRATEUR (il apparaîtra dans le menu d'accueil): là, essaie de fermer le service de cryptographie. As-tu un CD d'install' de XP (un vrai CD, pas un CD de restauration) ? Si oui: lance une fenêtre MS-DOS via la commande "exécuter" comme tout à l'heure et saisis: sfc /scannow Valide avec OK. L'outil de scan va vérifier les fichiers Windows: si l'un d'entre eux est abîmé, il proposera de le remplacer: il te faudra alors insérer ton CD. Tuto en images. En désespoir de cause: un ensemble de solutions diverses sur la Tanière de Panthère Noire.

Bonsoir à vous! Pigmass (from Canada?), le hosts est propre, SmitFraudFix indique simplement que c'est celui de Spybot: mais par comodité de lecture, peux-tu éditer ton post et supprimer les lignes du hosts? Vu que les antivirus scannent les url sur les pages (et que les urls du hosts sont infectieuses), ce topic met des plombes à se charger !! On y va pour la désinfection: on va d'abord désactiver les protections qui pourraient nous gêner: Désinstalle F-PROT Antivirus Désinstalle A-Squared AntiDialer Désactive SuperAdBlocker Désactive AVG Antivirus Désactive Spyware Terminator Désactive Tea-Timer comme indiqué: Ouvre Spybot Va dans le Menu "Mode" --> "Mode avancé" Confirme en cliquant sur le bouton "Oui". Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident" Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central : Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. Puis: SMITFRAUDFIX Relance Smitfraudfix Note : L'option 2 que nous allons lancer supprimera les infections traitées par l'outil, mais l'option 2 de SmitFraudFix enlève aussi le fond d'écran ! --> Si tu souhaites conserver ton fond d'écran,assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse HIJACKTHIS Relance HijackThis Sélectionne "Do a system scan only" Coche les lignes suivantes si elles existent: Ferme tes navigateurs internet (ex: Firefox et Internet Explorer) Clique en bas sur "Fix checked" Redémarre SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en Mode sans échec. Télécharge et sauvegarde sur ton Bureau SDFix (créé par AndyManchesta), en cliquant sur cette image: Double-clique sur SDFix.exe et choisis Install pour l'extraire à la racine de ton disque système (donc en général: C:\SDfix) Puis fais redémarrer ton ordinateur en Mode sans échec en suivant la procédure que voici : Fais redémarrer ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en Mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. (nota: il se peut que l'extension .bat n'apparaisse pas et que le fichier se nomme simplement RunThis) Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour faire redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si Sdfix ne se lance pas (ça arrive!) Démarrer->Exécuter Copie/colle ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe Clique sur ok, et valide. Redémarre et essaye de nouveau de lancer SdFix. INCREDIMAIL IncrediMail est un programme que l'on déconseille très fortement depuis des années: il collecte des informations personnelles te concernant et en fait un usage commercial; en cela il se rapproche d'un spyware! Pierre Pinard (Consultant en sécurité informatique, sur Assiste.fr) a écrit un excellent article à ce sujet . Pour le désinstaller, suis scrupuleusement cette procédure. Pour passer, par exemple, d'Incredimail à ThunderBird (conseillé), voir ceci pour le transfert des mails Tu as des rogues sur ton PC: on va y regarder de plus près UNINSTALL LIST ---> Nous allons générer une liste des programmes installés en utilisant HijackThis : Relance HijackThis Comme indiqué sur l'image, choisis l'option Open the Misc tool section Clique sur le bouton Misc Tools Choisis Open Uninstall Manager -----> Tu vas te retrouver devant un écran semblable à celui-ci : Clique sur Save list... et choisis l'endroit sur ton ordinateur où tu veux l'enregistrer... -----> Le bloc-notes va s'ouvrir, copie-colle le contenu de ce bloc-notes sur ce forum Enfin, dans ta réponse, poste un nouveau rapport HijackThis et donne-moi des nouvelles sur le fonctionnement de ton PC.

Pour vérifier que SMR fonctionne, il y a une méthode simple que je décris en fin de tuto: http://www.libellules.ch/phpBB2/strip-my-r...sta-t26176.html Tu peux passer CCleaner sans problème: essaie de le faire régulièrement. Yann l'admin" de Zeb t'enverra une facture sous peu De rien ça fait plaisir de filer un coup de main Ton rôle maintenant c'est de faire partager tes connaissances et celles de nos forums dans ton entourage, boulot, amis, famille...

Essaie ceci: Menu Démarrer----> Exécuter tape cmd et valide avec OK Une fenêtre MS-DOS apparaît: saisis ceci sc stop CRYPTSVC Redémarre Contrôle que le service de crypto est bien fermé

L'archive, c'est le dossier compressé (archive=fichier zip, ou rar...) que tu as téléchargé sur le site de StripMyRights: une fois copié-collé dans system32, supprime ce zip et tout ce que tu as dézippé sur ton Bureau, qui devient inutile. Le second lien que je t'ai donné ne fonctionne plus, DropIO n'aime pas les liens directs (mais ils ne le signalent pas lors de l'upload, grrrrr!): je te poste un nouveau lien avec les instructions: Télécharge ensuite ce dossier qui contient les fichiers qui permettront de protéger tes applications (clique sur l'image): Dézippe-le et copie les 4 fichiers qu'il contient sur ton Bureau. Pour chacun de ces 4 fichiers: clique-droit dessus et sélectionne "Fusionner" Répond "oui" à l'alerte qui suit, à chaque fois Une fois que tu as fusionné les 4 fichiers, tu peux tous les supprimer. Redémarre StripMyRights est maintenant actif! Il protégera Firefox, Yahoo Messenger, Windows Live et Windows Media Player,.

De quelle "alarme" parles-tu en branchant ta carte? Si elle est infectée, suis la procédure Flash Disinfector sur cette carte, comme indiqué dans ton autre post. Sinon, il faut la formater. Pour sécuriser ton PC: SECURISER SON PC Ce ne sont que des conseils basiques, ils ne sont en rien exhaustifs, mais ils sont efficaces et relativement faciles à mettre en place, à condition de prendre le temps de tout lire et comprendre. Si tu as des questions n'hésite pas!! Quelques règles de base à respecter en sécurité: je mets à jour mon XP avec Windows Update j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks. ne jamais télécharger n'importe quoi sans se renseigner ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour: La Crapthèque j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal: je me méfie des sites X (et des sites de cracks et warez), très souvent piégés. je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés. ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles. je me méfie des mails que je reçois je en connecte pas mes clés USB n'importe où je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes je sauvegarde les données perso régulièrement, sur DVD ou disque externe la première cause d'infection est le manque de prudence et de discernement de l'internaute je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi. INSTALLER UN HOSTS Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts Télécharge le logiciel HpHosts Installe-le en cliquant successivement sur "next" puis "install" Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)" Redémarre Supprime HpHosts FERMER LES PORTS Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon Télécharge le logiciel ZebProtect Suis le tuto de Tesgaz RENFORCER LE REGISTRE Explications: par défaut, le registre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack Nota: le site est down en ce moment, try later! Télécharge le logiciel ZigStack Décompresse l'archive sur ton bureau et ouvre le dossier "bin". Clique sur l'exécutable Zigstack. Clique en bas sur "select all" puis sur " set hardening". Redémarre. Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite). Si oui tu peux supprimer Zigstack de ton PC. SECURISER TA BOX Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée. PROTEGER LE NAVIGATEUR, LA MESSAGERIE et ton logiciel de TCHAT Explications: ces 3 catégories de logiciels sont les premiers pourvoyeurs de virus car ils se conncetent au net: en restreignant leurs droits, tu limite drastiquement les risques que des virus se faufilent par ton navigateur ou tes mails . Un logiciel permet de restreindre les droits: StripMyRights Suis mon petit tuto sur Libellules. UTILISER ET SECURISER FIREFOX Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire. Utilise exclusivement FIREFOX Sécurise-le avec les extensions suivantes: installe l'extension AdBlock Plus contre les publicités. avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b] extension FlashBlock NETTOYER LES FICHIERS TEMPORAIRES Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temsp à autres avec CCleaner. LanceCCleaner Slim régulièrement: Clique sur l'onglet "Nettoyeur" Clique sur le bouton "Lancer le nettoyage" Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents VACCINER SON PC CONTRE LES INFECTIONS de CLES USB Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB Télécharge VaccinUSB de Gof ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!! Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB Double-clique dessus -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus. Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant. ANTIVIR, KERIO et WINDOWS DEFENDER Installe Antivir en lieu et place d'Avast et paramètre-le en suivant ce tuto si ce n'est déjà fait: http://www.libellules.ch/tuto_antivir.php Prend soin de bien paramétrer au maximum les modules suivants: Clic droit sur le parapluie Choisis Configure Clique sur Expert mode puis Scan: là, configure Antivir comme suit: Cocher: All files Additionnal Settings:tout cocher Clic sur scan + Action for concerning files:Cocher: copie file to quarantine before action Primary action...................: repair => au cas ou ce serait un fichier système corrompu Secondary action.................: delete => s'il y a détection, autant supprimer. Une sauvegarde sera dans la quarantaine Installe ensuite Windows Defender: ce n'est pas le meilleur antispy résident, mais en gratuit le choix est très limité. Tuto WinDefender par MALEKAL Si tu te sens d'attaque, essaie d'installer et de régler/utiliser le pare-feu Kerio, plus performant que celui de XP: Tuto de Malekal Si tu trouves ça trop ardu, il vaut mieux se contenter du firewall XP par défaut. EWIDO & MALWAREBYTES ANTIMALWARE Télécharge-les en cliquant sur les deux images: Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport. XP ANTISPY Télécharge et installe XP Antispy Lance-le, clique en haut sur "Profil: recommandé" puis sur "Appliquer les changements". DEFRAGMENTATION Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace): Télécharge et installe JKDefrag Lance-le et laisse-le défragmenter ta machine (cela peut prendre du temps)

Yo! Je viens d'avoir ton mp: oui, tu supprimes puis tu postes le rapport.

Tant pis pour Catchme, c'est secondaire: sais-tu néanmoins comment zipper (ou compresser) un dossier, avec 7zip ou Winzip par exemple? On poursuit, on touche au but. TOOLBARS ! Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Tiens, voilà les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit: DESINSTALLATION de BASE Relance HijackThis avec un clic droit sur le raccourci d'HijackThis et en choisissant: "exécuter en tant qu'administrateur" Sélectionne "Do a system scan only" Coche les lignes suivantes si elles existent: Ferme tes navigateurs internet (ex: Firefox et Internet Explorer) Clique en bas sur "Fix checked" Ouvre Firefox Choisis Outils, puis Modules complémentaires Cherche le module Google Toolbar et clique sur Désinstaller Redémarre Firefox Ouvre Internet Explorer Choisis Outils. Clique sur Gérer les modules complémentaires Cherche le module Google Toolbar ou équivalent et désactive-le Redémarre Internet Explorer Désinstalle la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration Enfin, redémarre ta machine et poste un dernier rapport HijackThis Enfin, on va scanner ta machine pour la nettoyer en profondeur: INSTALLER ANTIVIR Il va remplacer Avast!, il est gratuit et beaucoup plus performant Télécharge Antivir en cliquant sur l'image: Installe-le Configure-le en suivant le tuto de Falkra RAPPORT ANTIVIR Paramètre Antivir comme suit: Clique droit sur le parapluie->Configure Clique sur Expert mode->Scan: Là, coche: All files Additionnal Settings:tout cocher Clic sur scan + Action for concerning files: Cocher copie file to quarantine before action Primary action...................: repair => au cas ou ce serait un fichier système corrompu Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Fais redémarrer ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte habituel Connecte tes clés USB et disques externes. Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Connecte tes clés USB et disques externes. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. MALWAREBYTES ' ANTI-MALWARE (MBAM) Télécharge Malwarebytes' Anti-Malware en cliquant sur cette image: Installe-le puis lance-le Connecte tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Tout ceci va être long, prend ton temps! Bon travail, A+ et merci de m'avoir rajouté à ta liste d'amis! Ogu

Peut-être une piste du côté des tweakers comme Glary alors, parfois ils shootent des clés légitimes, ou bien proposent des réglages parfois étranges... A suivre pour voir si cela revient ou non.

STP, peux-tu me faire parvenir le fichier suivant: C:\_OTMoveIt de la manière suivante: CATCHME Télécharge ici Catchme et mets-le sur ton bureau : http://files.thespykiller.co.uk/catchme.exe Double clique sur catchme.exe : une fenêtre noire s'ouvre, on patiente, puis une interface graphique. Clique sur le bouton "ADD" et va chercher le fichier C:\_OTMoveIt\Moved Files\Spyware-Secure\resources (il apparaîtra dans la liste) Clique sur le bouton "ADD" et va chercher le fichier C:\_OTMoveIt\Moved Files\Spyware-Secure\help\help_Trial_FR\rubs Et ainsi de suite pour les fichiers suivants: C:\_OTMoveIt\Moved Files\Spyware-Secure\help\help_Trial_FR\images\FR C:\_OTMoveIt\Moved Files\Spyware-Secure\help\help_Trial_FR\images C:\_OTMoveIt\Moved Files\Spyware-Secure\help\help_Trial_FR C:\_OTMoveIt\Moved Files\Spyware-Secure\help Clique sur le bouton "ZIP" et un zip nommé CATCHME sera créé sur le bureau, contenant les deux fichiers. Confirme-mo ique le zip a bien été créé, et je te donnerai la suite des opérations.

Oui, répond oui!

Ok, muy bien...mais tu as mal réglé Malwarebytes: il n'a pas supprimé ce qu'il a détecté! Exemple: CATCHME Télécharge ici Catchme et mets-le sur ton bureau : http://files.thespykiller.co.uk/catchme.exe Double clique sur catchme.exe : une fenêtre noire s'ouvre, on patiente, puis une interface graphique. Clique sur le bouton "ADD" et va chercher le fichier C:\Program Files\AntiSpyGolden 5.2\AntiSpygolden 5.2.exe (il apparaîtra dans la liste) Clique sur le bouton "ADD" et va chercher le fichier C:\Documents and Settings\Propriétaire\Application Data\setup_en[1].exe Et ainsi de suite pour les fichiers suivants! C:\Program Files\AntiSpyGolden 5.2\DbgHelp.Dll C:\Program Files\AntiSpyGolden 5.2\AntiSpyGolden AntiSpyGolden.url C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01242008-194716.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01242008-194733.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01242008-195152.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01252008-174723.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01252008-183311.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01262008-214119.html C:\Program Files\AntiSpyGolden 5.2\Logs\scan_log_01272008-093141.html Clique sur le bouton "ZIP" et un zip nommé CATCHME sera créé sur le bureau, contenant les deux fichiers Rend-toi sur cette page d'upload de fichiers infectieux: http://www.bleepingcomputer.com/submit-mal....php?channel=12 Dans la case "Link to topic where this file was requested", colle ce lien: http://forum.zebulon.fr/virus-alert-plus-d...ag-t146112.html Dans la case "Browse to the file you want to submit", clique sur le bouton "parcourir" Une fenêtre s'ouvre: cherche le zip CATCHME que tu viens de créer avec Gmer; il se trouve donc sur ton Bureau Sur la page d'upload, clique maintenant sur "send" La communauté antimalware te remercie de cette remontée de fichiers infectieux ! Relance ensuite Malwarebytes Antimalware et supprime ce qu'il trouve en suivant les indications que je fournis dans mon post de procédure sur Malwarebytes Pour Ewido: EWIDO Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Connecte éventuellement tes clés USB et disques externes. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, FERME TES NAVIGATEURS puis clique sur Remove infections Pas de rapport à fournir NETTOYER LES POINTS DE RESTAURATION Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". Redémarrer Puis: Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". J'analyserai le rapport HJT à la lumière des nouveaux scans et manipulations. Dis-moi quand elles ont été effectuées, que ma messagerie m'indique que tu as répondu.

Bonne nouvelle! Souhaites-tu que je te fournisse une procédure simple de sécurisation de ta machine, pour éviter qu'un nouvel Hupigon ne vienne te gêner?

Salut vous deux! Océanie, on va essayer un nouveau fix découvert par Falkra (Big Up Falkra!), si tu veux bien. DIAL-A-FIX Télécharge Dial-a-Fix de Lunarsoft sur ton Bureau en cliquant sur cette image: Dézippe le dossier sur ton Bureau Ouvre le dossier Dial-a-fix-v0.60.0.24 présent sur ton Bureau et double-clique sur Dial-a-fix Le fix se lance: coche les cases comme sur l'image suivante: Clique sur le bouton "Flush SoftwareDistribution" Clique ensuite sur le bouton GO Laisse Dial-a-fix travailler: si l'outil te demande d'insérer ton CD XP par l'intermédiaire d'une petite fenêtre, fais-le et clique sur OK Une fois les opérations terminées, fais redémarrer ta machine Verdict?

Yep^^, c'est normal que les lignes aient disparues !

Aucune idée! T'avais rien manipulé de spécial? As-tu nettoyé ton registre ou passer un scanner quelconque? Ou bien disposes-tu d'un module de surveillance du registre, type Tea-Timer, qui remet les valeurs par défaut au redémarrage?

En attendant les rapports, il reste un soft de peer-to-peer à dézinguer: LimeWire. A désinstaller! Le reste est bon sauf que la version d'HijackThis utilisée est obsolète (et je ne m'en suis pas rendu compte, comme un débutant !) Peux-tu s'il te plaît désinstaller ta version actuelle, puis télécharger la nouvelle version en cliquant sur cette image: Et poste-moi un rapport tout frais (pas un Uninstall list, mais un rapport "normal"),avec cette version-là.

C'est à dire? Tous réglage effectué, tout logiciel installé modifie ton registre, qui compte environ 300 000 clés ayant chacune un rôle.

StripMyRights Télécharge StripMyRights (de Sysint) en cliquant sur cette image: Dézippe-le et copie-colle l'exécutable StripMyRights.exe (64ko) dans: C:\Windows\System32. Une fois fait, tu peux supprimer l'archive Télécharge ensuite ce dossier qui contient les fichiers qui permettront de protéger tes applications (clique sur l'image): Dézippe-le et copie les 4 fichiers qu'il contient sur ton Bureau. Pour chacun de ces 4 fichiers: clique-droit dessus et sélectionne "Fusionner" Répond "oui" à l'alerte qui suit, à chaque fois Une fois que tu as fusionné les 4 fichiers, tu peux tous les supprimer. Redémarre StripMyRights est maintenant actif! Il protégera Firefox, Yahoo Messenger, Windows Live et Windows Media Player,.

Je ne vois plsu rien d'infectieux: por ton message d'erreur, je ne sais que faire, on s'y penchera en fin de procédure si cela persiste. La personne à qui appartient ce PC ayant installé des softs dangereux, je vais m'assurer que tout va bien de ce côté-là: UNINSTALL LIST ---> Nous allons générer une liste des programmes installés en utilisant HijackThis : Relance HijackThis Comme indiqué sur l'image, choisis l'option Open the Misc tool section Clique sur le bouton Misc Tools Choisis Open Uninstall Manager -----> Tu vas te retrouver devant un écran semblable à celui-ci : Clique sur Save list... et choisis l'endroit sur ton ordinateur où tu veux l'enregistrer... -----> Le bloc-notes va s'ouvrir, copie-colle le contenu de ce bloc-notes sur ce forum Enfin, on va nettoyer le système en profondeur d'éventuels fichiers infectieux inactifs: EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Connecte tes clés USB et disques externes. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. MALWAREBYTES ' ANTI-MALWARE (MBAM) Télécharge Malwarebytes' Anti-Malware en cliquant sur cette image: Installe-le puis lance-le Connecte tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le RAPPORT ANTIVIR Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Fais redémarrer ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte habituel Connecte tes clés USB et disques externes. Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer Paramètre Antivir comme suit: Clique droit sur le parapluie->Configure Clique sur Expert mode->Scan: Là, coche: All files Additionnal Settings:tout cocher Clic sur scan + Action for concerning files: Cocher copie file to quarantine before action Primary action...................: repair => au cas ou ce serait un fichier système corrompu Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine

Très bien: essaie de la convaincre que IncrediMail est une source d'infection, si elle le conserve, c'est l'assurance qu'elle revienne sous peu pour une nouvelle infection. Au fait, le disque C apparaît-il à nouveau dans l'explorateur? Pour contrôle, je vais te demander de redémarrer, puis de poster un nouveau log HijackThis.

Refais le scan en Mode normal alors. A priori il n'a rien trouvé si j'en crois ta description.

Bon...le premier reg en début de topic, il fonctionnait lui au niveau de la fusion?? Essaie de le construire toi-même: copie le code dans la balise suivante (sans le mot "code" naturellement!): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" Colle-le dans ton bloc-note et enregistre ce fichier sur ton Bureau sous le nom truc.reg (l'important, c'est le .reg). Dis-moi si ça marche maintenant.

Merci. As-tu encore des fenêtres de pubs?? Il reste un processus infectieux: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\bwgo0001cbb7.exe Il faut trouver quel est le truc qui droppe cet exécutable dans tes fichiers temporaires...En attendant: CCLEANER SLIM Télécharge CCleaner SLIM en cliquant sur l'image: Installe-le, lance-le et clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" Pas de rapport à fournir ce coup-ci ! Tu te connectes actuellement avec les serveurs DNS d'OpenDNS, qui sont des serveurs sécurisés américains: perso je les utilise, mais si tu le souhaites, on peut remettre les DNS de ton FAI. Certains disent que ses serveurs ralentissent le surf du fait de leur localisation outre-Atlantique, mais je n'ai rien remarqué de tel...par contre ils permettent une protection astucieuse contre les sites dangereux. A toi de me dire. HIJACKTHIS Relance HijackThis Sélectionne "Do a system scan only" Coche les lignes suivantes si elles existent: Ferme tes navigateurs internet (ex: Firefox et Internet Explorer) Clique en bas sur "Fix checked" Redémarre OTMOVEIT2 Télécharge OTMoveIt2 sur ton bureau Double clique sur OTMoveIt2.exe Sélectionne et copie la ligne ci-dessous C:\Program Files\YesMessenger Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles) TOOLBARS ! Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Tiens, voilà les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit: DESINSTALLATION de BASE Ouvre Firefox Choisis Outils, puis Modules complémentaires Cherche le module Google Toolbar et clique sur Désinstaller Redémarre Firefox Ouvre Internet Explorer Choisis Outils. Clique sur Gérer les modules complémentaires Cherche le module Google Toolbar ou équivalent et désactive-le Redémarre Internet Explorer Désinstalle la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration PEER-TO-PEER Je note que tu as un logiciel de peer-to-peer: ShareAza Merci donc de relire: La Charte du forum L'article de Tesgaz sur les dangers du peer-to-peer et des cracks Le test d'eMule par Malekal Va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes... : merci donc de désinstaller ShareAza avant de poursuivre!! INCREDIMAIL IncrediMail est un programme que l'on déconseille très fortement depuis des années: il collecte des informations personnelles te concernant et en fait un usage commercial; en cela il se rapproche d'un spyware! Pierre Pinard (Consultant en sécurité informatique, sur Assiste.fr) a écrit un excellent article à ce sujet . Pour le désinstaller, suis scrupuleusement cette procédure. Pour passer, par exemple, d'Incredimail à ThunderBird (conseillé), voir ceci pour le transfert des mails DESKTOP MESSENGER Le logiciel Desktop Messenger ne sert à rien: il est censé permettre à l'utilisateur de tirer profit de son matériel Logitech: en réalité il installe BackWeb, un soft louche qui se connecte à Logitech pour faire on ne sait trop quoi, considéré comme un simili-spyware... Va dans ton Panneau de Configuration Rubrique "Ajout/Suppression des programes" Supprime : Logitech DESKTOP MESSENGER (fais bien attention au nom !!!) MISE A JOUR de JAVA Java est un élément essentiel pour la navigation, et il est souvent mis à jour pour corriger ses vulnérabilités. Ta version est obsolète: Dans ton Panneau de Configuration, clique sur l'icône JAVA Dans la fenêtre qui s'ouvre, clique sur l'onglet "Mise à jour" Clique en bas sur "Mettre à jour maintenant" et laisse l'update s'installer HIJACKTHIS Poste un nouveau rapport s'il te plaît!