WawaSeb

Bonsoir Nozzzor, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Bonsoir pimprenelle, 1) Ouvre ton premier post 2) Clique sur le bouton Editer ---> Edition complète 3) Ajoute [Résolu] au titre de ton sujet En espérant de tout coeur que tu ne te feras plus infecter...

Bonsoir , ----> Normalement, ces deux applications ne doivent pas faire planter ta machine, si ce sont des versions officielles ! Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 1) Voici une liste de recommandations personnelles pour éviter de te faire infecter : 1 ) Gardez une version de Windows légale et à jour 2 ) Activez le centre de sécurité 3 ) Utilisez FireFox 4 ) Evitez les sites douteux, illégaux, pornographiques, ... 5 ) Méfiez-vous des programmes gratuits (financés par...) 6 ) Fuyez le "Peer To Peer" (Kazaa, Bearshare, ...) 7 ) Gardez un Antivirus à jour ! 8 ) Ne cliquez jamais sur des liens non annoncés dans une messagerie instantannée 9 ) N'ouvrez jamais de pièce jointe non prévue dans un mail ! 2) Tu peux dénoncer ton infection : 3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets) Merci pour ta confiance ! Au plaisir !

Bonsoir , *** C'est TOI qui a fait de l'excellent travail ! *** ---> Tes rapports sont propres... # Rencontres-tu encore des problèmes avec ton PC ?

Bonsoir LeNab, # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... 1) Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip ---> Décompresse l'archive dans un dossier dédié ---> Renomme HijackThis.exe en Vundo.exe ---> Lance-le ---> Choisis l'option "Do A System Scan And Save A Log File" ---> Copie-colle le rapport sur ce forum Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm @ très vite !

Bonsoir arise, *** Ton rapport de BlackLight est propre ! *** 1) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 @u plaisir !

Bonsoir doni, *** Ton rapport BlackLight est propre ! *** -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? 1) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\Program Files\sTabLauncher\sTabLauncher.exe Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 2) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : O4 - HKLM\..\Run: [vlcsifhwmd] c:\windows\system32\vlcsifhwmd.exe vlcsifhwmd 3) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Bon travail !

Bonjour boume, *** Tu fais vraiment un excellent travail ! *** Tu peux encore fixer cette ligne-ci avec HijackThis (le fichier est manquant !) : O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) ---> Tu n'es pas parvenu à les supprimer ?? # Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir... Télécharge la dernière version de Java Runtime Environment (JRE) 6. Descends sur la page jusqu'à "Java Runtime Enviroinment (JRE) 6, The Java SE Runtime Environment (JRE) allows end-users to run Java applications". Clique sur "Download", à droite Coche la case et accepte la license La page se recharge Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau Ferme tous tes programmes (surtout les navigateurs Internet) Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "modifier / supprimer" Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA Redémarre ta machine Après le reboot, clique sur jre-6-windowsi586.exe pour installer la nouvelle version... suis les instructions à l'écran

Bien vu wacesea, Excellente analyse !!!! Il est effectivement probable que tes symptômes soient dûs à VNC... Bonne fin de nuit !

Bonsoir arise, *** Je suis vraiment content de lire que tu as pu récupérer ton installation ! *** ---> Comment as-tu pu trouver qu'il s'agissait du pilote de ta carte graphique ? 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes : O4 - Global Startup: Sam.lnk.disabled O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm # Tu peux donc maintenant appliquer les étapes -4- et -5- de ma première procédure et poster les rapports ! Bonne chance !

Bonsoir , ---> Dans ton cas, il s'agissait de WareOut et de NaviPromo/Edgaccess Bonne soirée !!

Bonsoir Hans, *** Tous tes rapports, jusqu'ici, sont propres ! *** ----> Tout simplement, que tu ne devais pas décocher la case, ce que tu as très bien fait ! ----> J'attends toujours ton rapport de Kaspersky...

Bonsoir pimprenelle, *** Ne t'inquiète pas, il n'y a rien de très alarmant dans ton rapport ! *** 1) Supprime les dossiers suivants (si présents) -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? C:\OEMCUST\TOOLS\WIN32\PSKILL.EXE C:\WINDOWS\RESTORE.INS 2) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle également le contenu de ce rapport dans ta prochaine réponse 3) Nous allons maintenant vider la restauration du système : ---> Pour ce faire, désactive puis ré-active cette dernière comme indiqué ici Attention, tu dois impérativement redémarrer ton ordinateur entre la désactivation et la ré-activation de cette restauration !! ---> Windows créera alors automatiquement un nouveau point de restauration propre... ----> Où en sont tes problèmes ? ----> Comment tourne ta machine ? A très vite...

Merci regis56 ! doni, tu peux donc appliquer la procédure qui n'aurait peut-être pas fonctionné sans l'intervention de regis56 parce qu'un caractère y était mal placé... Ceci est une méprise... J'ai adapté plusieurs de mes "canned speech" suite à des remarques en privé... @ bientôt

Bonjour mcyann, Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 1) Voici une liste de recommandations personnelles pour éviter de te faire infecter : 1 ) Gardez une version de Windows légale et à jour 2 ) Activez le centre de sécurité 3 ) Utilisez FireFox 4 ) Evitez les sites douteux, illégaux, pornographiques, ... 5 ) Méfiez-vous des programmes gratuits (financés par...) 6 ) Fuyez le "Peer To Peer" (Kazaa, Bearshare, ...) 7 ) Gardez un Antivirus à jour ! 8 ) Ne cliquez jamais sur des liens non annoncés dans une messagerie instantannée 9 ) N'ouvrez jamais de pièce jointe non prévue dans un mail ! 2) Tu peux dénoncer ton infection : Merci pour ta confiance ! Au plaisir !

Bonjour Regis56, doni, Regis56 : Je suppose que tu parlais de l'astérisque... doni : Peux-tu attendre la confirmation de regis56 avant d'appliquer ma procédure stp ? Bonne journée à tous les deux !

Bonjour doni, # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... Il te reste en tous cas le tristement célèbre rootkit "NAVIPROMO / EDGACCESS"... Il va falloir que tu imprimes ces instructions, car tu n'y auras pas accès en mode sans échec... 1 ) Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) 2 ) Ouvre le bloc-note ---> Clique sur "Démarrer" --> Tous les programmes --> Accessoires --> Bloc-notes 3 ) Copie-colles-y ceci (sans le mot citation): # Attention, le code suivant a été édité, il comportait des erreurs : Merci à regis56 et à Bruce Lee pour leur attention !! 4 ) Enregistre ce fichier dans c:\BFU - Nom du fichier : aftermath.bfu - Type : tous les fichiers - Clique sur Enregistrer - Quitte le Bloc-note 5 ) Démarre en mode sans échec sur ta session comme indiqué ici 6 ) Lance le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute"); - Double-clique sur aftermath.bfu - Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" : C:\BFU\aftermath.bfu Clique sur "Exécute" et laisse-le faire son travail. Attends que "Complete script execution" apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. 7 ) Redemarre en mode "normal" Puis, reposte un nouveau rapport Hijackthis ainsi qu'un nouveau rapport Blacklight. Bon travail à toi !!!

Bonsoir pimprenelle, # Aucun des scans en ligne ne fonctionne ? # Les scans en ligne DOIVENT se faire avec Internet Explorer !!! ---> Je ne comprends pas bien ce que tu veux dire, pourrais-tu m'envoyer une capture d'écran ? @ demain,

Bonsoir Hans, 1) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle également le contenu de ce rapport dans ta prochaine réponse 2) Peux-tu également poster le rapport de Kaspersky stp ? @u plaisir !

Courage pimprenelle, *** Nous allons y arriver ! *** Pour l'étape 2), -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? En ce qui concerne le contrôle Active-X, vérifie que ton navigateur est bien configuré comme indiqué ici ---> Tu peux également essayer le scan en ligne avec Panda Ne te démoralise pas...

Bonsoir arise, # Compte-tenu de tout ce que tu viens de me décrire, je ne vois d'autre solution que le formatage après avoir sauvé tes données au préalable... à moins que tu ne puisses récupérer le mot de passe admin (voir ton revendeur) # Après le formatage, il ne restera plus d'infection (sauf un virus présent dans le BIOS, normalement quasiment impossible depuis plusieurs années) # Pense à bien sauver tes paramètres et données d'Outlook, toutes tes données personnelles, les paramètres de certains programmes spécifiques souvent présents dans les dossiers "Application Data" (attention, ce sont des fichiers cachés !), tes favoris et paramètres d'Internet Explorer, FireFox, ... Bon courage, n'hésite pas si tu as d'autres questions...

Bonsoir mcyann, *** Ton rapport HijackThis est propre ! *** 1) Démarre en mode sans échec sur ta session comme indiqué ici 2) Supprime le fichier suivant (si présent) -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? E:\Amenagement Windows\Economiseur d'écran\bzzss.exe <---- Le fichier ******* Redémarre en mode normal ! 3) Nous allons maintenant vider la restauration du système : ---> Pour ce faire, désactive puis ré-active cette dernière comme indiqué ici Attention, tu dois impérativement redémarrer ton ordinateur entre la désactivation et la ré-activation de cette restauration !! ---> Windows créera alors automatiquement un nouveau point de restauration propre... 4) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir... Télécharge la dernière version de Java Runtime Environment (JRE) 6. Descends sur la page jusqu'à "Java Runtime Enviroinment (JRE) 6, The Java SE Runtime Environment (JRE) allows end-users to run Java applications". Clique sur "Download", à droite Coche la case et accepte la license La page se recharge Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau Ferme tous tes programmes (surtout les navigateurs Internet) Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "modifier / supprimer" Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA Redémarre ta machine Après le reboot, clique sur jre-6-windowsi586.exe pour installer la nouvelle version... suis les instructions à l'écran /*\ Rencontres-tu encore des problèmes avec ta machine ? @u plaisir !

Bonsoir arise, ---> C'est souvent le cas sur les PC's de marque ! ---> Essaye en ne tapant que ENTER (la touche), essaye également "admin", "password", "pass", "administrateur", "Administrateur" (sans les guillemets, chaque fois) ---> J'espère que tu ne devras pas passer à la réinstallation par-dessus (je recommande le formatage dans ce cas-là) ---> Je pense malheureusement que cela est dû à la mise à jour (que je ne recommande pas, surtout avant la désinfection complète du système !!!) Bonne chance !

Bonsoir pimprenelle, ----> Au contraire, tu as raison de poser des questions, c'est le meilleur moyen d'apprendre ! Pour fixer des lignes avec HijackThis, clique simplement sur ce lien et sur "Fixer les lignes" ! Bonne chance !

Bonsoir arise, ----> Pourquoi ? De quelles mises à jour parles-tu ? - As-tu encore un CD de Windows XP ? # Si oui, démarre dessus (tu devras peut-être configurer le BIOS pour qu'il boote sur le CD-ROM) et suis la procédure indiquée sur cette page ! # Après avoir tapé le mot de passe Administrateur de ton système, tape la commande suivante : chkdsk /r (avec l'espace) # Attends (cela peut durer une heure) que Windows répare les fichiers nécessaires à son lancement. Attention, le compteur peut monter, puis redescendre, ... # Le programme terminé t'écrira qu'il a réparé des erreurs, tape alors : exit pour redémarrer ta machine Dis-moi ce qu'il en est...