oGu

Re, suis cette procédure (merci mille fois à Pear pour le tuyau!!) Lis bien l'intégralité du post avant de te lancer et IMPRIME-LE. Sauvegarde ta base de registre avec ERUNT en suivant ce tuto: http://www.zebulon.fr/dossiers/57-6-sauveg...e-registre.html Démarre en mode sans échec en suivant ce tuto: http://www.malekal.com/modesansechec.php Connecte-toi sur le compte ADMIN du mode sans échec (et pas sur ta session sgzd ) Va dans le menu "Démarrer" puis "Exécuter" Tape regedit et valide par "ok" Regedit s'ouvre: à droite clique sur l'arborescence de manière à arriver à cette ligne HKey_Local_Machine\system\currentcontrolset\services\RpcSs Dans le volet de droite, double-clique sur Start Une petite fenêtre s'ouvre: dans la rubrique "Données de la valeur", tape 2 Ferme Regedit et redémarre. edit: orthographe

Le fichier a été supprimé visiblement, dommage que nous n'ayons pas le rapport OtMoveIt pour s'en assurer... Etape suivante! Télécharge Clean de Malekal Morte: http://www.malekal.com/download/clean.zip Décompresse-le sur le bureau (clic droit / extraire tout), Tu obtiens alors un dossier intitulé clean Démarre Windows en mode sans échec à partir de ce tuto: http://www.malekal.com/modesansechec.php Une fois démarré en sans échec, ouvre le dossier clean qui se trouve sur ton bureau Double-clique sur clean.cmd, une fenêtre noire va apparaître , Choisis l'option 2 et laisse l'operation de nettoyage s'effectuer Redémarr en mode normal et poste le rapport qui se trouve là: C:\rapport_clean.txt PS: n'édite pas tes messages, mais répond à chaque fois dans un nouveau message s'il te plaît. Sinon je ne suis pas prévenu de ta réponse, et je risque en plus de passer à côté de certaines de tes actions.

Par exemple tu ouvres ton explorateur, il fera office de "fenêtre quelconque" !! A priori tu ne le trouveras pas, OtmoveIt a fait du bon boulot. C'est gentil de me remercier, c'est trop rare!! Mais sache que la CIA me paie très cher pour la désinfection sur ce forum (en échange je leur transmets des infos sur toi pour leur fichier mondial sur les utilisateurs de peer-to-peer !!! )

Merci; tu l'exécutais depuis ton bureau OtMoveIt? ton Windows est-il installé sur le disque D? Essaie de le mettre sur C:\. ********************************************** En cas denouvel échec: On va le chercher à la main. Affichage des dossiers cachés: Menu "Outils" d'une fenêtre quelconque . " Option des dossiers" onglet "Affichage" Active la case "Afficher les fichiers et dossiers cachés". Désactive la case "Masquer les extensions des fichiers dont le type est connu". Désactive la case "Masquer les fichiers protégés du système d'exploitation". Clique sur "Appliquer à tous les dossiers". Puis cherche le fichier htssv32.exe dans C:\WINDOWS

Le lien dont tu parles permet de télécharger CCleaner Slim, j'ai essayé plusieurs fois sans rencontrer autre chose que ce logiciel. ****************************************** Il reste un fichier infectieux: O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe Peux-tu s'il te plaît recommencer la procédure avec OtMoveIt ??

???? Je ne t'ai jamais donné ce lien, je ne connais même pas ce logiciel!! Dis-moi STP dans quel message je t'ai indiqué de télécharger ce logiciel. Analyse du log en cours...

Non, même pas!! Cet onglet est en fait une immense base de données par ordre alphabétique à destination des helpers (le but premier de cet outil): il est utilisé afin d'avoir accès à une description de tous les processus existants, de manière à voir s'ils sont ou non sains. Mais encore une fois, cet onglet NE SCANNE PAS TA MACHINE, dès lors il ne peut indiquer que ta machine a tel ou tel processus en train de tourner. Par curiosité, va dans cet onglet et tape sur la lettre "b" de ton clavier: tu verras alors la longue liste des processus commençant par "b". Recommence avec toutes les autres lettres et tu constateras que c'est bien un dico des processus dont il s'agit et non d'un scanner. Coolman a prévu de revoir cet onglet pour éviter les paniques et imcompréhensions dans la prochaine version.

De quoi parles-tu?? Pourquoi as-tu installé ce truc?? STP contente-toi de suivre mes indications, sinon on s'en sortira pas!! Ce nettoyeur de registre t'a simplement trouvé des clés obsolètes qui ne SONT PAS des infections. Ne paye rien du tout et désinstalle-le. Termine la procédure s'il te plaît.

Tiens...Pourtant HijackThis le fait apparaître. Poursuis la procédure s'il te plaît, y compris en supprimant LimeWire (le téléchargement n'est pas vital !!), sinon pour ma part j'arrête de t'aider, je ne donne pas de mon temps pour désinfecter si les risques d'infections sont encore là car l'utilisateur refuse de prendre des précautions. Pour ma part je me moque que cela soit illégal (je n'ai pas d'actions chez Universal!!), la seule chose que je mets en avant, c'est que le peer-to-peer est un nid à virus, c'est tout !! Sinon ton PC n'est pas une poubelle, non!!

Salut! Ta machine appartient-elle à un domaine? Le service RPC a en effet besoin de l'Active Directory pour démarrer, et ça il n'y a que l'administrateur Réseaux de sa société qui puisse y faire quelque chose. Peut-être n'as-tu pas les droits suffisants pour suivre la manipulation de Microsoft. Est-ce une hypothèse à creuser??

Ok, c'est déjà mieux. Supprimer un fichier infectieux avec OtMoveIt Télécharge OTMoveIt sur ton bureau http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Double clic sur OTMoveIt.exe Sélectionne et copie la ligne ci-dessous C:\WINDOWS\htssv32.exe Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes: O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab Clique en bas sur "Fix checked" Redémarre Télécharge CCleaner Slim: http://www.ccleaner.com/download/builds/downloading-slim Installe-le, lance-le et clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée ***************************************************************** Je note que tu as un logiciel de peer-to-peer: LimeWire Merci donc de relire: -la charte du forum: http://forum.zebulon.fr/index.php?act=SR&f=40 -l'article sur les dangers des cracks: http://forum.zebulon.fr/index.php?showtopic=85544 Va faire un tour sur le forum de désinfection, il y a autant d'infections dûes à MSN qu'au peer-to-peer: merci donc de désinstaller LimeWire sous peine de nouvelle infection (et on ne se décarcasse pas pour que tu reviennes dans 2 mois !! ***************************************************************** Je note également que tu as installé le logiciel Desktop Messenger, qui ne sert à rien à part t'envoyer des pubs: il est censé permettre à l'utilisateur de tirer profit de son matériel Logitech: en réalité il installe BackWeb, un soft louche qui se connecte à Logitech pour faire on ne sait trop quoi...Je te conseille dons de désinstaller Logitech Desktop Messenger (et uniquement Desktop Messenger!!) en plus de LimeWire. ***************************************************************** Poste un nouveau log HijackThis que l'on fasse le point.

Hello! Si tu as la version Pro d'AdAware, il ne faut surtout pas installer AVG Antispyware (à moins de désactiver le bouclier résident et le service correspondant): jamais deux logiciels résidents de la même famille (ici, celle des antispywares) Pour rappel à ceux qui aimerait utiliser AVG Antispyware sans le bouclier (payant) et sans le service qu ise lance au boot, il existe un clone portable du scanner/nettoyeur d'AVG Antispyware utilisant la même base de données: il se nomme Ewido Micro-Scanner: http://downloads.ewido.net/ewido_micro.exe Et son petit tuto: http://bibou0007.forumpro.fr/tutos-f45/tut...canner-t123.htm

Yo. Windows gère mal les comptes, ce genre de souci sur les raccourcis est fréquent... Une solution pourrait être, dans la session de tes enfants, de cliquer droit sur les raccourcis que tu veux supprimer, d'aller dans leurs propriétés et de le cocher la case "caché", ce qui rendra (logiquement, mais avec les comptes il ne faut jurer de rien) le raccourci invisible aux enfants et visible sur ta session.

Re, tout tes rapports sont propres, les "infections" trouvées par Antivir n'étant que les sauvegardes de bagle faites par CatchMe ainsi qu'un faux-positif sur AnyDVD. Bon boulot Hierry! Je crois que tu peux éditer le premier message et mettre en titre: [RESOLU] Infection BAGLE sous VISTA A+ !! Ogu

Rien à craindre!!! La "table des processus" de ZHP est en réalité une base de données générale de tous les processus recensés, mais il ne scanne pas ceux de ta machine: il faut en fait comprendre la table des processus comme un glossaire (d'ailleurs rend-toi sur l'onglet et tape une lettre: la table va t'indiquer tous les processus commençant par cette lettre) nécessaire aux helpeurs. Je ne pense pas être très clair néanmoins!!

Salut à vous! Il me le trouve aussi, et c'est normal! Si je ne m'abuse, la table des processus de ZHP est en réalité un glossaire de tous les processus existant, mais pas de ceux tournant sur la machine: relance-le et tape n'importe quelle lettre quand tu es dans la table des processus, et l'outil t'indiquera les processus commençant par cette lettre. Cet onglet est un récapitulatif, une base de données, pas un scan de ta machine !

Le log est propre. HijackThis ne détectant pas (ou rarement) les infections rootkitées, scanne à nouveau avec BlackLight, à titre de vérification, et poste le rapport s'il détecte des "hidden files".

Aleluïa!! Le mode sans échec ne marche plus avec Beagle MAIS EliBagla sait le réparer : il ne fonctionnait pas sur ta machine MAIS il a réussi à réparer les clé de registre pour restaurer le sans échec!! Merci à lui ! Ouf! Cela dit relance EliBagla voir s'il en reste des scories. En souhaitant qu'il ne trouve rien. De toute façon si le dropper est éliminé on devrait pouvoir se débarasser des drivers. Tiens-moi au courant!

Aucune idéee!! Essaie!

Ok! poste un log HijackThis que l'on voit où nous en sommes! Tu as bien fait d'être patient, le fix a besoin de temps pour nettoyer les fichiers.

Re, la machine infectée est-elle un PC perso ou une machine professionnelle?? Si elle est profesionnelle, cela indiquerai probablement que tu ne disposes pas des droits pour lancer le service. Merci à Sév pour m'avoir indiqué cette piste! A suivre!

Je sais! Mais je constate régulièrement des membres infectés disposant de ces jeux: pur hasard ou causalité?? Ces jeux ne sont pas infectieux, mais ils servent de porte d'entrées aux virus: - voir la fiche de castleCops qui les classent comme BadWare: http://www.castlecops.com/o23list-1744.html - voir cette discussion: http://www.sur-la-toile.com/discussion-872...ification-.html Il y aurait d'autres liens à fournir. Perso je fais toujours désinstaller ces jeux (mais bien souvent le désinstalleur ne fait pas son travail, comme pour tout les malwares...mais je peux te fournir une procédure). A toi de voir!! Ciao.

Bonsoir! Les drivers sont toujours là...Les fenêtres dont tu parles sont celles correspondant à l'infection. Je suis un peu désemparé là!!

Mouais...As-tu téléchargé la dernière version de MSNfix ?? Après avoir fini le scan Antivir, télécharge MSNFix à partir du lien que je t'ai indiqué et éxecute-le en mode normal (pas en sans échec) puis poste un nouveau rapport STP, suivi d'un Hijackthis.

La manip' avec la console s'est-elle bien passée?? Le service RPC est vital pour le PC:souhaitons que nous parvenions à le redémarrer... Je cherche de l'aide de mon côté. A suivre...