WawaSeb

Bonsoir Koyote, *** De nombreux experts se sont penchés sur ce cas... nous allons y arriver ! *** --> Merci à tous ceux qui m'ont aidé pour cette infection particulièrement tenace ! Enregistre TOUTE la procédure... et vérifie que tu as toujours les SmitFraudFix, HijackThis et SDFix sur ta machine ! La désinfection d'une machine doit se faire avec une certaine rigueur... # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... --> Je t'avais demandé de désinstaller un antivirus... --> Peux-tu désinstaller Mcafee stp ? 1 ) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle Mcafee 2 ) Télécharge Hoster Enregistre le fichier sur ton bureau 3 ) Télécharge Look2Me-Destroyer (par Atribune) sur ton Bureau Ferme toutes les fenêtres Double-clique Look2Me-Destroyer.exe pour le lancer Coche Run this program as a task Clique sur OK pour accepter le message en anglais Après une minute, le programme se relance : clique sur Scan for L2M (les icônes vont disparaître) Pour terminer, choisis Remove L2M Clique à nouveau sur OK au message Done Scanning Le programme t'affiche Done removing infected files --> Clique OK pour redémarrer ! Enregistre le rapport Look2Me-Destroyer.txt qui se trouve sur ton bureau 4 ) Démarre en mode sans échec (sans prise en charge réseau !) sur ta session comme indiqué ici 5 ) Supprime les fichiers suivants (si présents et si possible) : -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\info.exe C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe C:\Documents and Settings\Philippe LEBAS\Menu Démarrer\Programmes\Démarrage\info.exe C:\Documents and Settings\Philippe LEBAS\Menu Démarrer\Programmes\Démarrage\system.exe C:\WINDOWS\system32\printer.exe C:\WINDOWS\system32\WinAvXX.exe C:\WINDOWS\system32\explore.exe C:\Documents and Settings\Philippe LEBAS\LOCALS SETTINGS\Temp\clclean.0001 6 ) Toujours en mode sans échec, relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : 7 ) Lance Hoster Double-clique sur hoster.exe et choisis l'option make hosts writable Clique ensuite sur restore original microsoft hosts Re-clique sur make hosts writable pour le remettre en lecture seule 8 ) Relance smitfraudfix.cmd * Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse Important : l'option 2 de SmitFraudFix enlève le fond d'écran ! --> Assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! 9 ) Relance SDFix Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script Appuie sur Y pour démarrer le nettoyage SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer Appuie donc sur une touche pour redémarrer la machine Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage Après le chargement du Bureau, l'outil terminera son travail et affichera Finished Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum 10 ) Vérifie que les fichiers supprimés au point 4 ne sont pas revenus ! 11 ) Redémarre en mode normal 12 ) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse-le sur ton bureau Un nouveau dossier va être créé (DiagHelp) Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame Copie/colle le rapport qui s'ouvre sur ce forum N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !! Merci de poster stp les rapports suivants : Look2Me-Destroyer SmitFraudFix SDFix DiagHelp Nouvel HijackThis Bon courage !

Bonsoir Galenor, *** Il y avait peut-être d'autres solutions que de formater... *** --> Nous aurions vraiment préféré résoudre ton problème... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse # Voici une liste de recommandations personnelles pour éviter de te faire infecter : Garde une version de Windows légale et à jour Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections) Evite les sites douteux, illégaux, pornographiques, ... Méfie-toi des programmes gratuits (financés par...) Fuis le Peer To Peer (Kazaa, Bearshare, ...) Garde un Antivirus à jour ! Ne clique jamais sur des liens non annoncés dans une messagerie instantannée N'ouvre jamais de pièce jointe non prévue dans un mail ! Passe malgré tout une excellente soirée !

Bonjour Koyote, *** SmitFraudFix a été spécialement mis à jour cette nuit (merci Siri ! ) *** 1) Supprime complètement ta version de SmitFraudFix (le fichier téléchargé + le dossier décompressé) 2) Télécharge la toute dernière version de SmitFraudFix ---> Dézippe la totalité de l'archive sur ton bureau 3) Démarre en mode sans échec (sans prise en charge réseau !) sur ta session comme indiqué ici 4) Relance smitfraudfix.cmd * Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse Note : L'option 1 supprimera les infections traitées par l'outil Important : l'option 2 de SmitFraudFix enlève le fond d'écran ! --> Assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! 5) Redémarre en mode normal et poste un rapport HiajckThis comme expliqué plus haut... Bon travail à toi !

Bonsoir Koyote, *** Tu n'as vraiment pas fait dans la dentelle et tes infections sont très récentes ! *** Attention, je constate qu'il y a deux antivirus installés sur ta machine ! (McAfee et Avast) --> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles : 1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle McAfee OU Désinstalle Avast 2) Désactive temporairement la protection en temps réel d'Ad-Aware : --> Ouvre le programme --> Ad-Watch --> Désactivé (si tu as la version payante !) 3) Efface TOUS les rapports HijackThis de ta machine 4) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes : 5) Rends-toi sur ce site-ci Dans le premier rectangle blanc, tu mets : http://forum.zebulon.fr/index.php?showtopic=131250 Clique ensuite sur Parcourir et sélectionne le fichier C:\Documents and Settings\Philippe LEBAS\Menu Démarrer\Programmes\Démarrage\info.exe Choisis alors Ouvrir Dans le grand rectangle, tu peux mettre Courage siri ! ---------> Merci pour ton aide ! 6) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 7) Poste un nouveau rapport HijackThis en attendant des nouvelles d'experts... Bonne nuit à toi !

Re - Koyote, Attention, plusieurs parties de la procédure se dérouleront en mode sans échec, tu n'auras pas accès au net pendant ce temps-là : imprime ou enregistre ce post sur ton bureau ! Ton système est très infecté !!! Même si nous parvenons à enlever tous les malware's présents sur ton système, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite... 1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau. Double-clique sur SDFix.exe et sélectionne Install pour le décompresser dans un dossier dédié sur ton Bureau. 2) Démarre en mode sans échec (sans prise en charge réseau !) sur ta session comme indiqué ici Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script Appuie sur Y pour démarrer le nettoyage SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer Appuie donc sur une touche pour redémarrer la machine Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage Après le chargement du Bureau, l'outil terminera son travail et affichera Finished Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt Le fichier Report.txt sera le premier rapport à coller dans ta prochaine réponse sur le forum 3) Redémarre en mode sans échec, relance smitfraudfix.cmd * Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse Note : L'option 1 supprimera les infections traitées par l'outil Important : l'option 2 de SmitFraudFix enlève le fond d'écran ! --> Assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! 4) Redémarre en mode normal et poste un rapport HiajckThis comme expliqué plus haut... Merci de poster : Le rapport SDFix Celui de SmitFraudFix Un nouvel HijackThis Bon travail !

Bonsoir Koyote, *** Bienvenue sur ce chouette forum dédié à la sécurité ! *** 1) Télécharge SmitFraudFix ---> Dézippe la totalité de l'archive sur ton bureau ---> Double-clique sur smitfraudfix.cmd ---> Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection. ---> Sauvegarde ce rapport et poste-le 2) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm Bon travail à toi !

Bonjour Galenor, coucou angelique (merci pour ton aide !), J-B .Z, *** Il arrive en effet que Look2Me-Destroyer ne se relance pas après une minute... *** 1) Dans ce cas : Redémarre Ré-essaye à nouveau Look2Me-Destroyer --> C'est effectivement l'une des caractéritiques de cette infection... 2) Retente la procédure avec Combofix 3) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 4) Nous allons vérifier quelque chose de très important grâce à un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Merci de poster (si tu y arrives) : Le rapport de Look2Me-Destroyer Celui de Combofix Le scan de Kaspersky en ligne Bonne chance !

Bonsoir lextof, *** Ok, tu es donc bien victime d'une infection de bureau... *** --> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance... 1) Démarre en mode sans échec (sans prise en charge réseau !) sur ta session comme indiqué ici 2) Relance smitfraudfix.cmd * Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse Note : L'option 1 supprimera les infections traitées par l'outil Important : l'option 2 de SmitFraudFix enlève le fond d'écran ! --> Assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! 3) Redémarre en mode normal et poste un rapport HiajckThis comme expliqué plus haut... Bonne nuit !

Bonsoir nard27, *** Tu as fait du très bon travail ! *** --> Ils sont peut-être déjà désinstallés ; tu peux supprimer les dossiers associés, mais il risque de perdre ses téléchargements ! --> Pourquoi donc ? La plupart des experts s'accordent à dire que c'est une mauvaise idée ! -----> Tu as été infecté par l'adware LOP, la prochaine fois que tu veux installer MSN Plus, tu dois refuser le sponsor : 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : 2) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Passe une bonne nuit !

Re - Attention, je constate qu'il y a 4 antispyware's installés sur ta machine ! (a-squared, Spybot, AVG et Ad-Aware) --> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles : N'en garde qu'un seul ! --> Les logiciels de p2p (BitTorrent) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz 1) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\WINDOWS\system32\XceedCry.dll Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 2) Clique sur Démarrer, puis sur Exécuter Tape cmd.exe et appuie sur Entrée Tape ensuite exactement les commandes suivantes : sc stop "DirectX Service " sc delete "DirectX Service " 3) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante (si encore présente) : 4) Exécution d'un script personnalisé pour Combofix Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous : Enregistre-le en lui donnant le nom CFScript Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe Poste le résultat et un nouveau rapport HijackThis ! Bon travail !

Bonjour nard27, *** Bienvenue sur le forum sécurité de Zebulon ! *** Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] : 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle ! 2) Télécharge Combofix de sUBs Ferme toutes les fenêtres Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre) Appuie sur Y pour lancer le scan A la fin du scan (cela peut prendre du temps), un rapport sera créé Poste ce rapport dans ton / tes prochain(s) message(s) Bon travail à toi !

Bonjour gegebear, *** Encore un super grand merci pour l'envoi du fichier ! *** Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 1) Voici une liste de recommandations personnelles pour éviter de te faire infecter : Garde une version de Windows légale et à jour Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections) Evite les sites douteux, illégaux, pornographiques, ... Méfie-toi des programmes gratuits (financés par...) Fuis le Peer To Peer (Kazaa, Bearshare, ...) Garde un Antivirus à jour ! Ne clique jamais sur des liens non annoncés dans une messagerie instantannée N'ouvre jamais de pièce jointe non prévue dans un mail ! 2) Tu peux dénoncer ton infection : 3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets) # Ouvre ton premier po s t # Clique s ur le bouton Editer ---> Edition compl è te # Ajoute [R é s olu] au titre de ton s ujet En espérant de tout coeur que tu ne te feras plus infecter...

Re-bonjour gegebear, *** Peux-tu encore faire ceci stp ? (Pour tous les experts qui travaillent à développer des outils...) *** 1) Compresse le fichier C:\WINDOWS\system32\ttbhypti.dll (ttbhypti.zip) 2) Renomme C:\WINDOWS\system32\ttbhypti.dll en ttbhypti_old.dll 3) Rends-toi sur cette page-ci Clique sur Parcourir Sélectionne le fichier ttbhypti.zip Clique ensuite sur Ouvrir Dans le cadre destiné à l'équipe de MAD, tu peux mettre "Fichier suspect, probable variante de Vundo - WawaSeb" Clique sur le bouton Envoyer Un immense MERCI pour ton aide apportée !

Bonjour gegebear, *** Super, tu l'as eu ! *** 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : 2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir... Télécharge la dernière version de Java Runtime Environment (JRE) 6. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u2, The Java SE Runtime Environment (JRE) allows end-users to run Java applications". Clique sur "Download", à droite Coche la case et accepte la license La page se recharge Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau Ferme tous tes programmes (surtout les navigateurs Internet) Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "modifier / supprimer" Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA Redémarre ta machine Après le reboot, clique sur jre-6u2-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran # Rencontres-tu encore des problèmes avec ta machine ? # Si oui, lesquels ? Bonne après-midi !

Bonsoir gegebear, Vundo est toujours présent : Exécution d'un script personnalisé pour Combofix Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous : Enregistre-le en lui donnant le nom CFScript Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe Poste le résultat et un nouveau rapport HijackThis ! Bon travail !

Bonsoir karine73, *** Avant de partir, je voudrais que tu fasses trois dernières petites choses ! *** 1) Télécharge Hoster Décompresse le fichier sur ton bureau Double-clique sur hoster.exe et choisis l'option make hosts writable Clique ensuite sur restore original microsoft hosts Re-clique sur make hosts writable pour le remettre en lecture seule 2) Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure. Enregistre ToolsCleaner2.exe sur le Bureau puis décompresse-le Double-clique dessus --> Le programme va nettoyer les fichiers... Ouvre le rapport que tu trouveras là ~C:\TCleaner.txt Copie-colle le contenu de ce rapport dans ta prochaine réponse ---> Les icônes de ton bureau et la barre des tâche va disparaître, ne t'inquiète pas... Si tout cela ne revient pas après le passage du logiciel : # Appuie sur les touches CTRL + ALT + DEL Clique sur Fichier, puis sur Nouvelle tâche Clique sur Parcourir Rends-toi dans le dossier C:\Windows\ Clique sur explorer.exe, puis sur Ouvrir 3) Ré-active le Teatimer de Spybot Ouvre Spybot Rends-toi dans le menu Mode Coche la case Mode Avancé Clique sur Outils (tout en bas) Dans Résident, tu recoches la case Resident Teatimer -----> L'icône doit revenir dans la barre des tâches... Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 4) Voici une liste de recommandations personnelles pour éviter de te faire infecter : Garde une version de Windows légale et à jour Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections) Evite les sites douteux, illégaux, pornographiques, ... Méfie-toi des programmes gratuits (financés par...) Fuis le Peer To Peer (Kazaa, Bearshare, ...) Garde un Antivirus à jour ! Ne clique jamais sur des liens non annoncés dans une messagerie instantannée N'ouvre jamais de pièce jointe non prévue dans un mail ! 5) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets) # Ouvre ton premier po s t # Clique s ur le bouton Editer ---> Edition compl è te # Ajoute [R é s olu] au titre de ton s ujet En espérant de tout coeur que tu ne te feras plus infecter...

Bonsoir Galenor, *** Bienvenue sur le forum sécurité de Zebulon ! *** # Télécharge Combofix de sUBs Ferme toutes les fenêtres Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre) Appuie sur Y pour lancer le scan A la fin du scan (cela peut prendre du temps), un rapport sera créé Poste ce rapport dans ton / tes prochain(s) message(s) Bon travail à toi !

Bonsoir karine73, *** Tes rapports sont propres, bien joué ! *** 2 petites remarques : Il y a un grand nombre de processus inutiles lancés au démarrage, qui ralentissent ta machine ; je te recommande un petit tour du côté de la Partie Optimisation du forum... Avast n'a pas du tout une excellente réputation, son taux de détection est relativement faible : jette un oeil sur cet article ! # Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir... Télécharge la dernière version de Java Runtime Environment (JRE) 6. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u2, The Java SE Runtime Environment (JRE) allows end-users to run Java applications". Clique sur "Download", à droite Coche la case et accepte la license La page se recharge Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau Ferme tous tes programmes (surtout les navigateurs Internet) Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "modifier / supprimer" Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA Redémarre ta machine Après le reboot, clique sur jre-6u2-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran # Rencontres-tu encore des problèmes avec ta machine ? # Si oui, lesquels ? Bonne soirée, bon WE !

Bonjour gegebear, *** Vundo est toujours présent, nous allons frapper plus fort ! *** ---> Avais-tu bien passé ATF-Cleaner avant de faire le scan en ligne ? ---> Vois-tu à quoi correspond ceci ? Google ne trouve aucune référence... 1) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\WINDOWS\system32\d3d9caps.dat Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 2) Télécharge Combofix de sUBs Ferme toutes les fenêtres Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre) Appuie sur Y pour lancer le scan A la fin du scan (cela peut prendre du temps), un rapport sera créé Poste ce rapport dans ton / tes prochain(s) message(s) Bon travail ! Edit : Précaution supplémentaire, merci Slo / JoK !

Bonsoir kaptaine92, *** Bien joué, nous avons correctement attaqué l'infection ! *** --> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance... Attention, je constate qu'il y a trois antispyware's installés sur ta machine ! (AVG Anti-Spyware, Spybot et Ad-Aware) --> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles : 1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalles-en deux ! 2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : 3) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 J'attends donc le rapport de Kaspersky en ligne et un nouveau log HijackThis... @ très vite !

Bonjour kaptaine92, *** Bienvenue sur le forum sécurité de Zebulon !!! *** Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] : 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle ! 2) Télécharge Navilog1 de IL-MAFIOSO Enregistre-le sur ton bureau Double-clique sur navilog1.exe pour lancer l'installation Dans le dossier qui vient de se créer, exécute navilog1.exe ---> Une fois l'installation terminée, le fix s'exécutera automatiquement (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau) Après l'installation, le fix se lance normalement (sinon, clique sur Navilog1 pour démarrer manuellement) Choisis l'option 1 (PAS les autres !!!!) Attends jusqu'à l'apparition du message *** Analyse Terminée le ..... *** Presse une touche pour faire apparaître le rapport Copie-colle tout ce rapport dans ta prochaine réponse Ferme le bloc-note (le rapport est enregistré à l'emplacement <RACINE>\fixnavi.txt) Bon travail à toi !

Bonjour lextof, *** Bienvenue sur le forum sécurité de Zebulon ! *** Attention, je constate qu'il y a deux antivirus installés sur ta machine ! --> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles (je te conseille de garder AntiVir) : 1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle Norton OU Désinstalle AntiVir 2) Télécharge SmitFraudFix ---> Dézippe la totalité de l'archive sur ton bureau ---> Double-clique sur smitfraudfix.cmd ---> Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection. ---> Sauvegarde ce rapport et poste-le Bon travail à toi !

Bonsoir gegebear, *** Essayons ceci avant de sortir des outils plus puissants... *** --> Les logiciels de p2p (eMule) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz 1) Télécharge OTMoveIt de OldTimer. Sauvegarde-le sur ton Bureau. Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : Double-clique sur OTMoveIt.exe afin de lancer le programme Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clic-droit sur le cadre de gauche puis choisis Coller Clique à présent sur le bouton "MoveIt!" Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création) Poste ce rapport stp... 2) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\WINDOWS\HBO_VOYEUR.SCR Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... Répète la même opération avec le fichier C:\WINDOWS\system32\A9A4E84B48.sys *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 3) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Je vois que tu utilises Internet Explorer 7 : Si tu as des problèmes avec le bouton pour accepter la license, clique sur l'outil Zoom sur le bord droit de la fenêtre de Windows et règle-le à 75 %. Une fois que la license est acceptée, remets-le sur 100 % ---------------------------------------------------------------------------------------------------------------------------------- Sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] : 5) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle ! Merci de poster les rapports suivants : OtMoveIt 2 rapports Jotti / VirusTotal Kaspersky en ligne HijackThis avec la dernière version Bon travail !

Bonsoir karine73, *** Merci pour tes rapports, il y a beaucoup de choses à en dire ! *** --> Que se passe-t-il exactement ? Ton PC ne démarre plus en mode normal ? Attention, je constate qu'il y a trois antispyware's installés sur ta machine ! (SpywareTerminator, Spybot et SpywareBlaster) --> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles. --> Je te conseille de ne garder que Spybot !! --> Les logiciels de p2p (eMule, LimeWire, Shareaza) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz 1 ) Désactive le Teatimer de Spybot Ouvre Spybot Rends-toi dans le menu Mode Coche la case Mode Avancé Clique sur Outils (tout en bas) Dans Résident, tu décoches la case Resident Teatimer -----> L'icône doit être absente de la barre des tâches... 2 ) Note en ce qui concerne Boonty : --> Voil à ce que tu accepte s en jouant avec leur s jeux ! --> S i comme moi, tu n'e s pa s d'accord avec cette politique : --> Clique sur Démarrer, puis sur Exécuter Tape cmd.exe et appuie sur Entrée Tape ensuite exactement les commandes suivantes : sc stop "Boonty Games" sc delete "Boonty Games" Note : Si tu y rejoues, le service se ré-installera ! 3 ) En ce qui concerne EoRezo, le problème est un peu le même : --> Je te conseille donc la désinstallation de cette application ! 4 ) Incredimail a une réputation très louche également, derrière ses belles apparences... ---> Je te recommande donc la désinstallation de l'application après lecture de cet article ! 5 ) Rends-toi sur cette page-ci stp Dans la case Pseudo, tu mets karine73 URL de référence, tape http://forum.zebulon.fr/index.php?showtopic=130835 Observation / Remarque, tu peux ajouter Semble lié aux infections MSN... Pour sélectionner le fichier à envoyer, clique sur Parcourir et ouvre le fichier C:\DOCUME~1\Master\Bureau\Upload_Me.zip Clique enfin sur Envoyer ---------> Merci pour ton aide ! 6 ) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\WINDOWS\system32\BounceIt2.scr Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 7 ) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle ewido anti-malware ----> Cette version n'est plus à jour, le programme s'appelle maintenant AVG-AS ! 8 ) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : 9 ) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 10 ) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Je vois que tu utilises Internet Explorer 7 : Si tu as des problèmes avec le bouton pour accepter la license, clique sur l'outil Zoom sur le bord droit de la fenêtre de Windows et règle-le à 75 %. Une fois que la license est acceptée, remets-le sur 100 % Merci de poster : Le rapport de Jotti Le rapport Kaspersky en ligne Un nouveau log HijackThis Bon travail !

Bonjour gegebear, *** Tu es infecté par une variante récente de Vundo ! *** Ces nouvelles variantes sont plus résistantes et la plupart des outils automatiques n'en viennent plus à bout directement... Aussi, je te demande de patienter jusqu'à ce soir, afin que je te prépare une procédure en n'omettant aucune partie de l'infection... Merci pour ta compréhension !