oGu

Yo! La manip' avec ToolsCleaner s'est-elle bien passée? Merci, les liens down sont réparés!

Ok, on y va pour la toolbar: HIJACKTHIS Dans Démarrer > Exécuter et taper Services.msc puis OK Grâce à la barre de défilement (à droite) rechercher le service suivant: Google Updater Service (gusvc) Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, Dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section La fenêtre "Configuration" va s'ouvrir Cliquer sur Delete a NT service... La fenêtre "Delete a Windows NT service" va s'ouvrir Saisir dans la zone de dialogue : Google Updater Service (gusvc) Note : s'assurer de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer. Cliquer NO Nota: il se peut que HijackThis t'indique "not found in the registry" à la fin de l'opération. Lancer Hijackthis, choisir Do a scan only Cocher les lignes suivantes: Ferme ton ou tes navigateurs internet Clique sur "fix checked" Redémarre et poste un nouveau rapport HijackThis qu'on s'assure que tout a fonctionné. Pour McAfee, le mieux est de le désinstaller puis de le réinstaller entièrement, ou de re-télécharger l'installateur, de le lancer et de choisir l'option "réparer" ou équivalent.

Non. Sinon, le virus que tu aurais téléchargé par inadvertance se retrouverait aussi au redémarrage, et Returnil perdrait tout son sens! C'est effectivement pénible pour les mails, mais Returnil ne doit être utilisé que dans certaines occasions: test de virus ou de logiciel, tentative de réglage de l'OS ou du registre qui pourrait mal tourner (donc on fait un essai préalable). Une utilisation systématique cause plus de désagréments qu'autre chose! Or, si j'en crois ton post: je dirai plutôt que tu as activé la protection permanente au boot: du coup tu démarres avec la protection activée, tu la désactives ensuite, sauf que le réglage n'est pas enregistré pour le boot suivant vu que tu l'as fait sous Returnil (encore plus compliqué que Retour vers le Futur 3...)... Moralité tu tournes sous protection Returnil permanente, et ça c'est déconseillé. Si c'est bien le problème qui t'arrive, désinstalle Returnil en mode sans échec, c'est la seule solution, puis réinstalle-le mais sans activer le démarrage de Returnil en même temps que Windows. Par contre je ne connais pas la version 2 (je ne l'ai pas installé, c'est pénible de devoir redémarrer avant chaque activation), donc j'ignore où décocher ce paramètre, Bleuet pourra t'aiguiller.

Ben ils ont tort, croive, croive, voye, voyent, bref tous ces subjonctifs qui font saigner les oreilles, n'existent pas...

Salut! Pour une raison que je ne m'explique pas, le copier-coller déforme toutes mes images et modifie les urls...Donc je vais te donner un lien vers un autre sujet dans lequel tu trouveras également mes conseils de sécurisation: http://forum.zebulon.fr/index.php?s=&s...t&p=1202744 Bien sûr te concernant i lfaut modifier deux petites choses: inutile de vacciner à nouveau ton PC avec VaccinUSB ! inutile de supprimer MSNFix que nous n'avons pas utilisé Télécharge Tools Cleaner de A.Rothstein sur ton bureau Clique sur "rechercher" Clique sur "suppression" Ferme Tools Cleaner et efface-le N'hésite pas si tu veux plus d'infos ou si tu as des questions! A+

Salut Pascal62! Tout est ok pour moi!! Juste un tout petit détail: as-tu désinstaller la Toolbar Google? Si oui il en reste des traces (c'est toujours le cas, elle se désinstalle mal). Je te donnerai alors la marche à suivre pour t'en débarasser. Si tu le souhaites, maintenant que ta machine est propre, je peux te fournir une procédure de sécurisation assortie des bons réflexes à avoir pour surfer tranquille. Dis-moi si sa t'intéresse. A+!

Salut! La désinfection n'est pas finie, bien qu'on ait fait le plus gros! Entendu, mais il faudra alors créer un nouveau sujet qui sera spécifique au PC de ton fils, pour plus de clarté. PEER-TO-PEER Je note que tu as (ou as eu?) des logiciels de peer-to-peer: eMule et uTorrent Merci donc de relire: La Charte du forum L'article de Tesgaz sur les dangers du peer-to-peer et des cracks Va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes... merci donc de désinstaller eMule et uTorrent ! Le reste de la procédure va suivre, mais j'ai d'abord besoin d'infos. A+!

Salut! Ce qui me gêne ce n'est pas la qualité de Spyware Doctor, mais bien tout ce qu'installe le Pack Google, et en particulier sa toolbar qui permet de récupérer puis vendre à des fins commerciales des informations sur l'utilisateur. Perso je désinstallerai tout ça, Spyware Doctor n'étant pas indispensable.

Oui!

SDFix n' a pas trouvé grand-chose, peut-être es-tu infecté par une variante. SDFIX Le SDFix que tu as utilisé n'est pas à jour , supprime celui que tu as téléchargé hier puis recommence la procédure avec cette version à jour: http://download.bleepingcomputer.com/andymanchesta/SDFix.exe COMBOFIX Scanne ta machine avec ComboFix de sUBs en suibant rigoureusement ce tuto: http://www.bleepingcomputer.com/combofix/f...iliser-combofix jusqu'à arriver à la création du rapport que tu posteras.

Yo! Il semblerait que le logiciel et les drivers soient dispo ici: http://h10025.www1.hp.com/ewfrf/wc/softwar...p;product=62064 Dans un premier temps, télécharge-le, redémarre, et quand on te signale "The feature you are trying to use is on a CD-ROM or other removable disk that is not available. Insert the TrayApp disk and click OK" Clqiue sur "parcourir" et sélectionne le logiciel HP que tu viens de télécharger. Puis laisse l'installation se compléter. Pa sûr que sa marche néanmoins.

Ok! Tu es effectivement infecté, j'espère qu'on va réussir à remettre ton PC sur pieds, parce que ta version de Windows n'est visiblement pas légale, avec tout les risques inhérents...On va voir! SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en mode sans échec (voir plus bas). Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

Cela t'arracherait la langue de dire bonjour, de détailler ton problème puis de dire merci?? Recommence avec le minimum de savoir-vivre puis je te prendrai en charge. A+!

Effectivement..j'en venais à me demander si je n'avais pas un problème psycho-moteur au moment de cliquer sur 2...

Il y a plusieurs pistes à explorer pour les déconnections: le cable USB est moins fiable que l'ethernet, et le navigateur Orange est réputé peu fiable. Tu devrais également installer Firefox ou Opéra en plus du navigateur Orange, et voir ce qu'il en est. Le peer-to-peer gêne aussi les connections mais tu n'en disposes pas, donc... Je te préparerai ça alors! A+

LNS étant payant et Comodo étant un bon pare-feu, ne change rien!

Salut! Donne-moi la référence de ton imprimante stp.(ex: HP scanjet 3400)

Salut Yugm, bon week-end! Je trouve au contraire que tu te débrouilles plutôt bien: juge par toi-même: La dll infectieuse et son driver ont bien été supprimés !!! Jette un oeil à ton rapport HijackThis et tu constateras que la ligne: O2 - BHO: (no name) - {308FA211-78FE-4D86-B405-50E0361AF78F} - C:\WINDOWS\system32\dbmsvin.dll n'apparaît plus. Bon travail, et BIG UP à Qc001 qui m'a parfaitement guidé sur ce coup-là ! <-------Rickard's Red Dommage, sUBS ne pourra pas analyser ces fichiers, mais le dysfonctionnement ne semble pas être de ton fait, donc pas de regret. Cette fenêtre: est-elle néanmoins apparue? Tout semble OK maintenant: notes-tu encore des dysfonctionnements, compris au niveau de ta connection?? SUPPRESSION DES LOGICIELS DE DESINFECTION Explications: Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles: mal utilisés, ils peuvent plus de mal que de bien. Nous allons donc les désinstaller. Efface: Norton Removal Tool UITool3-370a.zip et le dossier que tu as créé en le décompressant RHOSTS va dans ton Panneau de configuration, rubrique "Ajouter/Supprimer des programmes" et désinstalle: Navilog1 Double clique sur OTMoveIt.exe Clique sur le bouton CleanUp Répond "yes" à la fenêtre "confirm" qui s'affiche Répond "yes" à la seconde fenêtre "confirm" afin que ton PC redémarre OTMOVEIT #2 Double clique sur OTMoveIt.exe Sélectionne et copie les lignes ci-dessous C:\Documents and Settings\All Users\Application Data\PC Tools C:\WINDOWS\system32\yugm.reg Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles) RegFix Copie ce code: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] Colle-le dans ton bloc-note Enregistre-le sur ton bureau sous le nom: yugm2.reg Clique-droit sur ce fichier Sélectionne "Fusionner" Répond "Oui" au message d'alerte. Si tu le souhaites, on peut maintenant sécuriser ton PC avec quelques logiciels et manipulations simples, assorties de quelques réflexes à apprendre et à faire partager dans ton entourage.

Salut! T'as bien fait de "upper", on t'avait raté! Je ne vois rien d'infectieux dans ton rapport, par contre certaines choses me chiffonent! AZUREUS et PEER-TO-PEER Je note que tu as un logiciel de peer-to-peer: Azureus Merci donc de relire: La Charte du forum L'article de Tesgaz sur les dangers du peer-to-peer et des cracks Va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes... et je suis persuadé que les virus qu'Avast te trouve et qui semblent inactifs sont des fichiers de peer-to-peer infectés: merci donc de désinstaller Azureus avant de poursuivre!!

Yo Falkra! Je m'étais porté volontaire cet été pour faire un post épinglé regroupant des liens et des infos pour répondre à l'éternelle question "quel est le meilleur antivirus?": on y retrouverait le tests d'Avast! par Malekal, des références sur Antivir, tes réflexions sur la difficulté de juger un AV, un procédé d'interprétation d'AVComparative, des critiques des tests bidons type Clubic! ou 01Net, un point de vue indiquant qu'un bon AV Free est suffisant si l'on est prudent etc... Cela n'avait intéressé perosnne donc j'avais laissé tomber, mais je suis prêt à m'y remettre durant les congés si tu penses que cela peut être utile. PS: n'hésite pas à supprimer les posts inutiles de cette discussion, en effet!

Salut! Ok, on va procéder différemment alors. OTMOVEIT Double clic sur OTMoveIt.exe Sélectionne et copie les lignes ci-dessous C:\Program Files\Logitech\Desktop Messenger C:\Program Files\Yahoo! Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles) HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes si elles existent: Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre CCLEANER SLIM Lance CCleaner Slim Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposéeet enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" GOOGLE TOOLBAR As-tu réussi à la supprimer? Erreur de ma part, j'avais mal codée l'url. Clique ici et exécute-le. HIJACKTHIS #2 Une fois ces manipulations terminées, poste un nouveau rapport pour voir où nous en sommes.

Je me pose effectivement la question...en tout cas tu n'es clairement pas là pour donner un point de vue sur Avast! ou Kasperky, d'où l'idée que je te soumets: passe ton chemin si tu n'es pas intéressé. Ou bien interviens en mettant ton mépris de côté. Faux: il y a un topic épinglé qui déconseille Avast! : http://forum.zebulon.fr/avast-ne-protege-t127217.html

C'est parti! Tu es infecté par un virus très récalcitrant que, perso, je ne connaissais pas: DELF Ton cas est en discussion sur l'Espace Sécurité du forum, donc ne t'en fais pas tu es entre de très bonnes mains! Cela ne t'intéressera sans doute pas, mais je vais donner quelques détails techniques qui seront utiles, lors d'une recherche Google par exemple, à des collègues désireux d'intervenir sur une infection équivalente à la tienne. Merci à Qc001 de s'être penché avec autant d'enthousisame sur cette infection et de m'avoir donné les infos suivantes! ----> Delf installe une .dll BHO (02) qui ressemble à du Vundo (mais il n'y a pas de hook en 020) , et qui ne peut pas être supprimé par des outils basiques tels HijackThis ou OtMoveIT, ou un RegFix. Ici, la dll infectieuse se nomme DBMSVIN.DLL, et peut prendre aussi les noms suivants: (merci Pear!) * DESKMO.DLL * DSPRO.DLL * CABINE.DLL * 60362814.DLL * 28726702.DLL * 52184682.DLL * 34313754.DLL * 52886824.DLL * 48021451.TXT * 22142693.DLL * 57864552.DLL * DBMSVIN.DLL * DMCONFI.DLL * AVIFIL.DLL * DDEM.DLL * COMMDL.DLL * FLTLI.DLL * 87622229.DLL * BATMETE.DLL * ADPTI.DLL * CERTMG.DLL * ADSN.DLL * 55751813.DLL * DNSAP.DLL * 29995356.DLL * 30799096.DLL * 74958059.DLL * DPNE.DLL La dll est accompagnée de rootkits/services cachés, avec pilote en .dat. Le .dll et les .dat sont parfois lockés et les dates de création sont truquées. Dans ton cas, d'après le log ComboFix, on repère: 2008-02-23 10:29 19,584 ----a-w C:\WINDOWS\system32\drivers\arjkevag.dat</FONT> << le rootkit (Driver / Service) Voilà! On passe maintenant à la désinfection de ton infection, et on uploadera également les fichiers infectieux à sUBs, le développeur de ComboFix ( CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-bas dans le fichier (incluant l'URL mais pas le mot "Code"): http://forum.zebulon.fr/index.php?showtopic=141750 Collect:: C:\WINDOWS\system32\drivers\arjkevag.dat C:\WINDOWS\system32\dbmsvin.dll Driver:: lvqolsms Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{308FA211-78FE-4D86-B405-50E0361AF78F}] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ajzedll] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ajzeenc] Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Yugm, ne pas l'utiliser pour votre propre machine!! Désactive ta suite McAfee Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. ComboFix créera ces fichiers sur ton Bureau : Un fichier zippé nommé Submit [Date Time].zip Un second fichier nommé - CF-Submit.htm [*]ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. [*]Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. [*]Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK" [*]Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira : Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier Submit [Date Time].zip qui est sur ton Bureau. Clique sur le fichier afin de le sélectionner. Soumets le fichier en cliquant "OK" [*]Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau. [*]Enfin, poste les deux rapports suivants dans ta prochaine réponse : - Combofix.txt - Un nouveau rapport HijackThis

J'ai bien compris ta condescendance à l'égard des utilisateurs de Windows, et j'ai bien compris aussi que tu aimais prendre systématiquement le contre-pied des gens.Pourquoi pas, ça doit t'amuser. Néanmoins tu seras bien obligé de constater que les nombreux intervenants de ce forum qui parlent de sécurité n'ont jamais dit que "Avast! était de la merde en barre", mais ont, au contraire, basé leur opinion sur des tests et des expériences in-vivo (suffit de faire un tour sur les topics d'infections). Vu que visiblement ce débat ne t'intéresse pas, ne te sens sûrement pas obligé d'intervenir. Tu seras plus utile sur les forums traitant de Linux.

Comme tu le dis, l'intérêt est limité! Pour ceux qui souhaitent un antivirus non-résident en complément, il existe eScan qui reprend les bases de données virales de...Kaspersky ! C'est un freeware portable qui télécharge automatiquement la base de données dans les TEMP, donc elle disparaît en cas de nettoyage. http://www.mwti.net/products/mwav/mwav.asp Dans la même ordre, AVZ Antivirus m'avait semblé convaincant: http://assiste.forum.free.fr/viewtopic.php...838a9819fcb9b37 Sinon il reste les scans en ligne avec Internet Explorer.