WawaSeb

--> Voir ici --> Merci ! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:44:44, on 08/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\wdfmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [wdfmgr.exe] C:\WINDOWS\wdfmgr.exe O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing) O9 - Extra 'Tools' menuitem: &Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://pedrodu83250.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-fr.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

Bonjour pmc78, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> Je n'ai malheureusement pas le temps de t'aider maintenant, mais tu as posté sur un autre forum --> Lorsque tu postes un message, quelqu'un comme moi passe du temps pour analyser, chercher et rédiger une procédure. Je le fais vraiment avec plaisir, mais en postant à différents endroits, tu mobilises l'énergie de deux personnes pour rien ! -> Chacun a sa méthode et on ne s'y retrouve plus : c'est donc beaucoup plus risqué ! Merci pour ta compréhension, envoie-moi un message privé si personne ne t'a donné de procédure avant cette nuit... @ bientôt !

Bonjour xaxa01, *** Bienvenue sur le forum sécurité de Zebulon ! *** Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] : 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle ! 2) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau: Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat - Exécute l'option R. -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage Notes : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt Bonne chance !

Bonjour sevy, *** Les infections détectées ne sont sans doute plus actives, mais il faut les enlever ! *** --> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance... --> J'ai besoin du chemin d'accès complet de ces fichiers, quitte à devoir refaire un scan en ligne... (visiblement, il ne s'est pas terminé !) --> Le fichier envoyé est en cours d'analyse... Je te tiens au courant le plus vite possible ! # Rencontres-tu encore des problèmes avec ta machine ? @ très vite !

Bonsoir sevy, *** Tes rapports sont presque propres... *** 1) Rends-toi sur cette page-ci stp Dans la case Pseudo, tu mets sevy URL de référence, tape http://forum.zebulon.fr/index.php?showtopic=129460 Observation / Remarque, tu peux ajouter Semble lié aux infections MSN... Pour sélectionner le fichier à envoyer, clique sur Parcourir et ouvre le fichier C:\u5g9p7x1h4a3.exe Clique enfin sur Envoyer ---------> Merci pour ton aide ! 2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires ---> Clique à nouveau sur OK 3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Je vois que tu utilises Internet Explorer 7 : Si tu as des problèmes avec le bouton pour accepter la license, clique sur l'outil Zoom sur le bord droit de la fenêtre de Windows et règle-le à 75 %. Une fois que la license est acceptée, remets-le sur 100 % Bon travail à toi !

Bonsoir David de Lyon, *** Nous allons tenter de réparer les erreurs de Windows avec une petite commande (son exécution peut prendre 1 heure) *** # Clique sur Démarrer, puis sur Exécuter Tape cmd.exe et appuie sur Entrée Tape ensuite exactement la commande suivante : chkdsk /r --> Attention à l'espace entre le "k" et le "/" ! --> Il te sera sans doute proposé de lancer la vérification au prochain démarrage Tape O Redémarre ta machine ---> Pour ton problème d'accès à certains sites, peux-tu en faire une liste complète afin qu'on puisse voir ce qui te cause ces soucis ? ---> Si tu n'as toujours pas de résultat, poste un topic dans la partie Software du forum en pensant bien à mettre le lien vers tout ce qui a déjà été fait... Bonne chance !

Bonjour sevy, *** Rien d'infectieux n'est visible dans ce rapport ! *** 1) Peux-tu poster le rapport de MSNFix stp ? 2) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse-le sur ton bureau Un nouveau dossier va être créé (DiagHelp) Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame Copie/colle le rapport qui s'ouvre sur ce forum N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !! Je te souhaite une très bonne journée !

Bonsoir David de Lyon, --> Je pense que cela n'est pas très grave... le fichier avait été détecté comme infecté par NOD32 --> Je suis heureux de le lire, les PC's infectés forment des réseaux de machines "ZOMBIES" et nous travaillons pour un Internet plus propre... Elibagla n'a rien trouvé, tu n'as sans doute jamais exécuté le fichier qui contenait le malware... # Que rencontres-tu encore comme problème(s) ? @ bientôt !

Bonsoir sevy, *** Bienvenue sur le forum sécurité de Zebulon ! *** 1) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau: Décompresse-le (clic droit >> Extraire ici) et double-clique sur le fichier MSNFix.bat - Exécute l'option R. -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage Notes : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt 2) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm Bons scans !

Bonsoir David de Lyon, *** On avance bien... j'espère que tes fichiers système ne sont pas endommagés ! *** 1) Télécharge ELIBAGLA (tout en bas de la page) Clique sur Descargar Elibagla pour télécharger le fichier Enregistre-le sur ton bureau Double-clique sur ce fichier pour l'ouvrir Assure-toi d'avoir "C:\" dans le menu Unidad Vérifie que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée Clique sur le bouton Explorar pour lancer l'analyse Poste le rapport créé C:\InfoSat.txt 2) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle Java version is 1.5.0.4 Désinstalle Java version is 1.5.0.6 Désinstalle Java version is 1.5.0.7 3) Supprime les fichiers / dossiers suivants (si présents) : -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? C:\Documents and Settings\David\Mes documents\David\Registry Repair\ C:\Documents and Settings\David\Mes documents\Downloads\registry.repair.2006.zip C:\Documents and Settings\David.GABRIEL\Mes documents\Downloads\registry.repair.2006.zip C:\WINDOWS\Profiles\Gabriel\Paramètres locaux\Application Data\Microsoft\Outlook\outlook.pst/Dossiers personnels/Boîte de réception/DAVID TEMPORAIRE/David ancien/23 Dec 2005 21:10 from Davidam:Wynefrede/Leonard.zip F:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.pst/Dossiers d'archivage/Éléments envoyés/07 Jan 2005 16:19 to amsellemgabriel@free.fr:Webroot Spy Sweeper/Webroot Spy Sweeper Crack.exe 4) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\Program Files\ESET\infected\A3H453DA.NQF Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") En espérant que tu auras compris ce que coûtaient réellement les cracks, je te souhaite une excellente soirée ! Merci de poster les 2 rapports suivants : ELIBAGLA Jotti / Virus Total @ bientôt !

Bonjour David de Lyon, *** Est-ce toi qui as installé RealVNC ? *** --> C'est un logiciel de prise de contrôle à distance de ton ordinateur... Si tu ne l'utilises pas régulièrement : 1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle RealVNC 2) Supprime les fichiers suivants (si présents) : -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? F:\Documents and Settings\Administrateur\Mes documents\VNC\vnc-4_1-x86_win32.exe C:\Documents and Settings\Gabriel\Mes documents\Downloads\PDF.Password.Remover.v3.0.WinALL-CHiCNCREAM\pwdremover.exe C:\Documents and Settings\David.GABRIEL\Bureau\Nouveau dossier (3)\A classer\Nouveau dossier\vnc-4_1-x86_win32.exe 3) Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". 4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Merci de poster les rapports suivants : VundoFix Kaspersky en ligne Bon travail !

Bonsoir David de Lyon, 8,22Mo ? ----> Peux-tu me le faire parvenir par mail stp, je t'envoie mon adresse en privé ! 1) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires ---> Clique à nouveau sur OK 2) Télécharge AVG anti-spyware *** Ce programme est une version d'essai, valable 30 jours ! ---> Enregistre-le fichier dans un dossier. ---> A la fin du téléchargement, ouvre le dossier et tu double-clique sur avgas-setup-TAVERSION.exe. Suis les instructions. ---> Si on te demande de redémarrer ton ordinateur, fais-le. ---> Pour lancer AVG anti spyware, double-clique sur l'icône qui s'est créé sur le bureau. Lors du premier lancement, tu devras configurer le logiciel : ---> Sur la page "état", tu choisis inactif pour le bouclier résident. ---> Sur la page "mise à jour", tu coches les cases de mises à jour automatiques et tu appliques (commencer la mise à jour). Redémarre l'ordinateur si nécessaire. ---> Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". ---> Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système. ---> A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier-coller avec ta réponse. Bonne nuit à toi !

Bonjour poumpidou, *** Bienvenue sur le forum sécurité de Zebulon ! *** Télécharge les utilitaires suivants à partir d'une autre machine... --> Peux-tu préciser stp ? As-tu un message d'erreur ? Que se passe-t-il exactement ? 1) Télécharge SmitFraudFix ---> Dézippe la totalité de l'archive sur ton bureau ---> Double-clique sur smitfraudfix.cmd ---> Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection. ---> Sauvegarde ce rapport et poste-le 2) Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau. Ferme toutes les applications en cours Double-clique sur comboscan.exe pour l'exécuter A la fenêtre de mise en garde, clique sur OK A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes) Le rapport Comboscan.txt s'affichera, envoie ce rapport dans ta prochaine réponse Bon travail, @ très vite !

Bonjour David de Lyon, *** Tu es aussi infecté par Sality, et c'est une grosse saleté qui s'attaque aux fichiers système ! *** *** Tu n'auras à nouveau pas accès au net pendant une partie de la procédure, je t'encourage à enregistrer ce texte ou à l'imprimer... *** ---> Tes rapports HijackThis montrent des entrées manquantes (relatives à tes programmes de sécurité notamment), est-ce toi qui les as cochées ? 1) Télécharge eScan Antivirus Toolkit Enregistre-le sur ton Bureau. Mets-le à jour en suivant les instructions suivantes (A-B-C) : A] Double-clique sur le fichier mwav.exe qui se trouve sur le Bureau. Décompresse les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky\). ---> Le programme va se lancer, et tu dois le quitter (Clique sur "Exit" puis "Exit" ). B] Double-clique sur le Poste de travail, puis sur le lecteur C:\, ouvre le dossier Kaspersky. Ensuite, exécute le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, l'outil se mettra à jour en quelques minutes. C] Lorsque la mise à jour sera terminée, tu verras "Press any key to continue"; appuie sur une touche pour continuer ! 2) Démarre en mode sans échec sur ta session comme indiqué ici 3) Lance "eScan Antivirus Toolkit" (Double-clique sur le fichier mwavscan.com situé dans le dossier C:\Kaspersky\) ---> Le programme s'exécute et ouvre une fenêtre principale 4) Coche les cases suivantes dans "Scan Option" : Memory, Registry, Startup Folders, System Folders, Services. 5) Coche aussi Drive et le bouton "All Locals Drives", et tu verras une nouvelle boîte de navigation sur la droite. Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\ 6) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 7) Clique sur Scan Clean et laisse le programme vérifier tout le disque dur (ça peut être très long !). En fin de vérification, tu verras apparaître : Scan Completed. Ne quitte pas immédiatement. Crée un nouveau document texte (avec le bloc-note) ° Copie-colles-y le contenu de la fenêtre Virus Log Information (la deuxième, au bas), et enregistre-le. ° Ferme le programme. ° Redémarre ton PC en mode Normal. ---> Très bon tutoriel signé malekal_morte ici ---> Poste le rapport que tu as sauvegardé dans ta prochaine réponse ainsi qu'un nouveau rapport HijackThis Bon travail à toi !

Bonsoir David de Lyon, *** J'ai besoin de prendre tout le temps nécessaire à l'analyse et à la prise d'infos pour ton sujet...*** --> Ce soir, je suis complètement malade... je te répondrai probablement dans la journée de demain... --> Il faudrait que tu sauvegardes toutes tes données, ton système est très mal en point ! Merci pout ta compréhension... @ demain,

Bonsoir David de Lyon, *** Tu n'auras pas accès au net pendant une partie de la procédure, je t'encourage à enregistrer ce texte ou à l'imprimer... *** Ton système est en effet salement infecté !!! Même si nous parvenons à enlever tous les malware's présents sur ton système, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite... Cela ne m'étonne pas !!! *** ---> Outre l'aspect illégal de ce qui va suivre, tu mets ta machine en très grand danger... ---> Il est aberrant d'installer des logiciels antivirus piratés, ils sont la plupart du temps déjà vecteurs d'infections... ---> J'espère qu'il n'est pas trop tard... 1 ) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle (si présent) Serials 2000 et tous les programmes similaires Désinstalle (si présent) hilopoker Désinstalle (si présent) PokerTH ----> Les programmes de Poker viennent très souvent avec ou par des malware's !!! 2 ) Télécharge Navipromo de lazzzy et décompresse-le sur ton bureau 3 ) Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). # Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champ "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). 4 ) Démarre en mode sans échec sur ta session comme indiqué ici Double-clique sur Navipromo.bat (dans le dossier Navipromo073) Appuie sur la touche R, puis sur ENTER pour choisir l'option "Recherche et suppression automatique" ---> S'il trouve des fichiers infectés, tu devras à nouveau presser une touche pour lancer le nettoyage... (ferme le rapport = texte qui vient de s'ouvrir) Relance Navipromo.bat (toujours dans le dossier Navipromo073) Appuie sur la touche H, puis sur ENTER pour choisir l'option "Suppression Heuristique" (ferme à nouveau le rapport qui s'ouvre après quelques minutes) 5 ) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle (si présent) Media Access 6 ) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute") ; Double-clique sur EGDACCESS.bfu Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" : C:\BFU\EGDACCESS.bfu Clique sur Exécute Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. 7 ) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles ! - Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur Empty Selected et au message "Done Cleaning" sur Ok 8 ) Télécharge gmer (je t'envoie l'adresse en privé) Déconnecte-toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip, renomme gmer.exe en gwennig.exe et double-clic sur gwennig.exe Clique sur l'onglet "rootkit" et ensuite sur Scan Lorsque le scan est terminé, choisis "copy" Ouvre le bloc-note et clique dans le menu Edition sur Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu ici # Est-ce toi qui as mis ces sites (lignes commençant par 127.0.0.1) dans ton fichier HOSTS ? --> Je suppose que non Merci de poster les rapports suivants : Gmer Nouvel HijackThis Bon travail !

Bonjour David de Lyon, *** Bienvenue sur le forum sécurité de Zebulon ! *** Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] : 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Rends-toi dans ce dossier et renomme hijackthis.exe en check.exe Lance check.exe en double-cliquant dessus Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle ! 2) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse-le sur ton bureau Un nouveau dossier va être créé (DiagHelp) Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame Copie/colle le rapport qui s'ouvre sur ce forum N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !! Bon travail à toi !

Bonsoir ergios, *** Il semble que les fichiers système de ta machine ont pris un sale coup ! *** 1) Télécharge VirusBDRRepair sur ton bureau Exécute-le par double-clic Clique sur OK à l'ouverture de la fenêtre Windows Script Host ---> Si cela ne fonctionne pas, essaye avec le clic-droit, ouvrir avec..., choisir le programme et Parcourir pour aller chercher %Répertoire de Windows%\System32\Wscript.exe # Disposes-tu d'un CD de Windows XP ? Bonne chance !

Bonsoir ergios, *** Je suis WawaSeb et j'espère pouvoir t'aider à résoudre tes problèmes... *** 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriaux (ancienne version) : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 2) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse-le sur ton bureau Un nouveau dossier va être créé (DiagHelp) Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame Copie/colle le rapport qui s'ouvre sur ce forum N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !! 3) Crée un nouveau document texte ° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "logon.bat" ! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS ! ---> Ton icône doit ressembler à ceci : ---> Exécute alors "logon.bat" en double-cliquant dessus... J'attends donc 3 rapports : HijackThis DiagHelp Logon.bat Bonne nuit !

Bonjour alainj77, *** Ravi qu'il n'y ait plus de problème... *** ---> ToolsCleaner! n'a rien trouvé ; soit parce que tu as déjà désinstallé / supprimé les outils, soit parce qu'ils sont dans des dossiers spécifiques... 1) Supprime de la machine (si encore présents) SmitFraudFix et son dossier Navilog1 (via "Ajout/Suppression de programmes") Combofix OtMoveIt Hoster Gmer 2) Nous allons maintenant vider la restauration du système : ---> Pour ce faire, désactive puis ré-active cette dernière comme indiqué ici Attention, tu dois impérativement redémarrer ton ordinateur entre la désactivation et la ré-activation de cette restauration !! Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 3) Voici une liste de recommandations personnelles pour éviter de te faire infecter : Garde une version de Windows légale et à jour Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections) Evite les sites douteux, illégaux, pornographiques, ... Méfie-toi des programmes gratuits (financés par...) Fuis le Peer To Peer (Kazaa, Bearshare, ...) Garde un Antivirus à jour ! Ne clique jamais sur des liens non annoncés dans une messagerie instantannée N'ouvre jamais de pièce jointe non prévue dans un mail ! 4) Tu peux dénoncer ton infection : 5) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets) # Ouvre ton premier po s t # Clique s ur le bouton Editer ---> Edition compl è te # Ajoute [R é s olu] au titre de ton s ujet En espérant de tout coeur que tu ne te feras plus infecter...

Bonjour alainj77, *** Excellent travail, nous y sommes enfin arrivés !!! *** 1) Ré-active la protection résidente de Ad-Aware 2007 ---> Ad-watch ---> Activer ! 2) Ré-active l'économiseur d'écran 3) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle (si présent) EoRezo, go-astro, GoRecord, HotTVPlayer, MailSkinner, Messenger Skinner, Instant Access, InternetGameBox, sudoplanet, Webmediaplayer (sauf s'il vient du site : http://www.azertysite.new.fr/) ----> L'un d'entre eux est probablement responsable de l'infection NaviPromo ! Désinstalle Avast! ---> Avira, Avg, ou Active Virus Shield (désactive la barre de sécurité pendant l'installation) sont d'excellents antivirus gratuits ! 4) Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure. Enregistre ToolsCleaner!.zip sur le Bureau puis décompresse-le Double-clique dessus --> Le programme va nettoyer les fichiers... Ouvre le rapport que tu trouveras là ~C:\TCleaner.txt Copie-colle le contenu de ce rapport dans ta prochaine réponse ---> Tu as été tiré d'affaire grâce à l'excellent programme de S!Ri ; si tu considères que c'est normal, tu peux lui envoyer une donation @ très vite pour les derniers conseils

Bonjour alainj77, *** Cette crasse de fichier a aussi résisté à CFScript !!! *** ---> S!Ri, l'auteur du fix, a mis à jour son programme cette nuit pour venir à bout de ce fichier récalcitrant (merci S!Ri)... 1) Supprime l'ancienne version de SmitFraudFix et tout son dossier présent sur le bureau 2) Télécharge la dernière version de SmitFraudFix 3) Démarre en mode sans échec sur ta session comme indiqué ici 4) Relance smitfraudfix.cmd * Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse Note : L'option 1 supprimera les infections traitées par l'outil Important : l'option 2 de SmitFraudFix enlève le fond d'écran ! --> Assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! 5) Redémarre en mode normal et poste un rapport HiajckThis comme expliqué plus haut... Bonne chance !!! Ce coup-ci...

Bonsoir alainj77, *** Je pense avoir compris pourquoi ce fichier résistait si bien... mais nous allons en profiter pour terminer le nettoyage... *** ETAPE 1 : Désactivactivation de l'économiseur d'écran Dans un premier temps, je voudrais que tu désactives l'économiseur d'écran --> Clic-droit sur le bureau, propriétés, écran de veille --> Choisis "aucun" ETAPE 2 : Désactivation temporaire de la protection en temps réel d'Ad-Aware : --> Ouvre le programme --> Ad-Watch --> Désactivé (si tu as la version payante !) ETAPE 3 : Création d'un point de restauration du système : --> Suis cet excellent tutoriel de Anthony ETAPE 4 : Analyse d'un fichier suspect : # Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\PROGRA~1\Magentic\bin\Magentic.exe Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") ETAPE 5 : Exécution d'un script personnalisé pour Combofix Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous : Enregistre-le en lui donnant le nom CFScript Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe Poste le résultat et un nouveau rapport HijackThis ! Bonne chance !

Bonjour alainj77, *** Le fichier est bien détruit, mais il se re-crée malheureusement après... *** Il va falloir scanner plus en profondeur... Bravo pour ta tenacité !!!! --> Ce sont bien les mêmes puisque j'ai changé le premier, afin de ne pas induire en erreur d'autres utilisateurs... 1) Télécharge Combofix de sUBs et sauvegarde-le sur ton bureau Ferme toutes les fenêtres Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre) Appuie sur 1 et sur la touche Entrée pour lancer le scan A la fin du scan (cela peut prendre du temps), un rapport sera créé Poste ce rapport dans ton / tes prochain(s) message(s) 2) Télécharge gmer (je t'envoie l'adresse en privé) Déconnecte-toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip, renomme gmer.exe en gwennig.exe et double-clic sur gwennig.exe Clique sur l'onglet "rootkit" et ensuite sur Scan Lorsque le scan est terminé, choisis "copy" Ouvre le bloc-note et clique dans le menu Edition sur Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu ici ---> Nous allons y arriver... tu vas voir !

Bonsoir alainj77, *** Je te prie de m'excuser, il y avait une erreur dans mon fix... *** 1) Lance le bloc-note (Démarrer > Tous les programmes > Accessoires), copie-colles-y tout le texte en citation ci-dessous en incluant bien REGEDIT4, mais sans laisser de ligne vierge avant REGEDIT4 * Sauve-le sur ton bureau * Enregistre-le sous : Fix.reg * Dans type de fichier, tu dois avoir "tous les fichiers" * Clique sur Enregistrer et remplace le fichier existant si tu l'avais toujours... ----> L'icône de ce fichier doit ressembler à ça : Double-clique ensuite sur Fix.reg pour l'exécuter et accepte les modifications du registre ! 2) Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : Double-clique sur OTMoveIt.exe afin de lancer le programme Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clic-droit sur le cadre de gauche puis choisis Coller Clique à présent sur le bouton "MoveIt!" Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création) 3) Télécharge Hoster Décompresse le fichier sur ton bureau Double-clique sur hoster.exe et choisis l'option make hosts writable Clique ensuite sur restore original microsoft hosts Re-clique sur make hosts writable pour le remettre en lecture seule 4) Reposte un rapport HijackThis ---> Rencontres-tu encore des problèmes avec la machine ? Bonne chance !!