WawaSeb

Re -, 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 2) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : c:\apps\easydvd\cleanall.exe Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Bonne chance à toi !

Bonsoir pimprenelle, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Bonsoir mcyann, bonsoir Malekal_Morte, ***** La question de "travailler pour d'autres" sur les forums a déjà été soulevées sur SWI, si cela t'intéresse Malekal, je peux essayer de retrouver la discussion ***** *** Tu as fait un excellent travail ! Bravo... *** ---------> J'ai eu la réponse à ma question, tu peux laisser tomber cette manipulation ! 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : O4 - HKLM\..\Run: [Ads checker] adchkr.exe 2) Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "ladchkr" (propriétés, général, type de démarrage : DESACTIVE) 3) Supprime les fichiers suivants (si présents) -------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ? C:\WINDOWS\system32\ladchkr.exe C:\WINDOWS\system32\adchkr.exe 4) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 5) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 -------> Reposte également un nouveau rapport HijackThis ! Bon courage à toi !!!!

Bonjour mcyann, *** Il y a plusieurs grosses infections sur ta machine ! *** ### Imprime ces instructions, tu n'auras pas accès à Internet en mode sans échec ! # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... Bonne chance ! 1 ) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: zorgloob Toolbar - {2625e237-19d4-478a-8d4b-149367e5959f} - C:\Program Files\zorgloob\tbzorg.dll (file missing) O4 - HKLM\..\Run: [tiodkxfsyo] c:\windows\system32\tiodkxfsyo.exe tiodkxfsyo O9 - Extra button: (no name) - {12345678-1234-1234-1234-1234567890AB} - (no file) O16 - DPF: {5554A026-7282-4C11-A8F1-652D0599CD02} (NMInstall Control) - http://a14.g.akamai.net/f/14/7141/1d/fr.ni...ROPE_SILENT.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD6DC3B-9E88-4913-87E6-E8FCF96B8A6D}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\..\{4A3287F5-5ACD-4F69-B55D-55E2BC3879FE}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC22D49-DEF3-4314-B929-E14DF2FE8B6E}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\..\{6D84FAC8-145E-4AAD-B3EE-5D2EE48EABE7}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\..\{8200163B-3181-48AD-BD6D-C3DB0F9F36D8}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.42 85.255.112.135 O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD6DC3B-9E88-4913-87E6-E8FCF96B8A6D}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.42 85.255.112.135 O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD6DC3B-9E88-4913-87E6-E8FCF96B8A6D}: NameServer = 85.255.116.42,85.255.112.135 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.42 85.255.112.135 2 ) Télécharge le FixWareout du site suivant sur le bureau: http://downloads.subratam.org/Fixwareout.exe Lance le fix: clique sur Next, puis Install, assure toi que "Run fixit" est activé et clique sur Finish. --> Le programme va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. --> Au final, poste le contenu de C:\fixwareout\report.txt 3 ) Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) 4 ) Ouvre le bloc-note ---> Clique sur "Démarrer" --> Tous les programmes --> Accessoires --> Bloc-notes 5 ) Copie-colles-y ceci (sans le mot citation): # Attention, le code suivant a été édité, il comportait des erreurs : Merci à regis56 et à Bruce Lee pour leur attention !! ----> La partie en rouge a été éditée, le code était inexact ! 6 ) Enregistre ce fichier dans c:\BFU - Nom du fichier : aftermath.bfu - Type : tous les fichiers - Clique sur Enregistrer - Quitte le Bloc-note 7 ) Démarre en mode sans échec sur ta session comme indiqué ici 8 ) Lance le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute"); - Double-clique sur aftermath.bfu - Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" : C:\BFU\aftermath.bfu Clique sur "Exécute" et laisse-le faire son travail. Attends que "Complete script execution" apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. 9 ) Redemarre en mode "normal" Puis, reposte un nouveau rapport Hijackthis 10 ) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\WINDOWS\system32\ladchkr.exe Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") Bon travail à toi !!

Bonjour arise, La désinfection d'une machine doit se faire avec une certaine rigueur... # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... Bonne chance ! ---> Peux-tu donc faire les étapes -3-, -4- et -5- de ma procédure précedente stp ? @ très vite

Re - , WgaLogon.dll gère la validité de ta version de Windows... C'est donc un processus légitime ! 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : O15 - Trusted Zone: http://toolbar.imageshack.us ---> Est-ce toi qui a placé volontairement ce site en zone de confiance ? Je te conseille de lire ceci et de fixer cette ligne ! Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 2) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\Program Files\ThiWeb Live\thiweblive.exe Clique sur "Submit" Fais de même avec C:\Program Files\ThiWeb Live\tlmaj.exe Copie-colle les rapports dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 3) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 # Rencontres-tu des problèmes particuliers avec ta machine ? # Est-elle plus lente que d'habitude ? Passe une belle après-midi !

Bonjour Hans, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Bonjour Tchaize, *** Je suis ravi de lire que tu ne rencontres plus de problème apparent avec ta machine ! *** # Peux-tu tout de même appliquer les étapes -1- et -2- de ma procédure stp ? -----> S'il reste un trojan "downloader" caché sur ta machine, les conséquences peuvent vraiment être catastrophiques ! Merci pour ta confiance...

Bonsoir Tchaize, ---> Non, rien n'est visible dans tes rapports, tu es donc victime d'une infection utilisant des techniques de rootkit pour agir en toute discrétion... 1) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle également le contenu de ce rapport dans ta prochaine réponse 2) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Ce coup-ci, je pense qu'ils vont apparaître... sinon, on sortira les grands moyens ! Courage...

Re - , *** Peux-tu détailler tes soucis de surf stp ? *** 1) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 2) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\Program Files\SAM\CS\sam.exe Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") 3) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 4) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle également le contenu de ce rapport dans ta prochaine réponse 5) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Bon courage à toi !

Bonsoir arise, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Re - , # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... 1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes : Désinstalle (si présent) Drive Cleaner ----> C'est un rogue, un faux utilitaire de sécurité !!! 2) Télécharge SmitFraudFix 3) Dézippe la totalité de l'archive sur ton bureau en double-cliquant sur le fichier que tu viens de télécharger. ---> Double-clique sur smitfraudfix.cmd ---> Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection. ---> Sauvegarde ce rapport et poste-le 4) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE --> Il s'agit du pilote de ta carte son Realtek, la suppression de cette ligne louche n'a jamais entraîné de dysfonctionnement ! A toi de voir... O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe" 5) Rends-toi sur ce site-ci Clique sur "Parcourir" (comme indiqué sur le dessin) Recherche le fichier suivant : C:\Program Files\FreeBot\freebot.exe Clique sur "Submit" Copie-colle le rapport dans ta prochaine réponse... *** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit") Bon travail à toi !!!!

Bonsoir Tchaize, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Bonsoir boume, ----> Ce programme a une politique louche : ----> Fixer cette ligne correspond à simplement empêcher le programme de démarrer systématiquement avec l'ordinateur... le choix t'appartient, mais je n'hésiterais pas une seule seconde ! ----> Oui, si tu ne l'as jamais fait, c'est normal ! ----> Comme il s'agit d'un scan en ligne, il n'y a aucun risque de conflit avec ton antivirus résident, rassure-toi ! @ bientôt !

Re, *** Attention, HijackThis est mal placé, tu dois ABSOLUMENT le décompresser dans un dossier qui lui est propre avant de le lancer... sous peine de perdre tous tes backups *** ----> Pourquoi penses-tu qu'il est infecté ? Peux-tu décrire les symptômes le plus précisément possible stp ? 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes : O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/...eInstall_fr.cab Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 2) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle également le contenu de ce rapport dans ta prochaine réponse Bonne chance !!

Bonsoir doni, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Merci ! J'ignore qui tu es, fifi29, mais je souhaite vraiment que tous tes voeux se réalisent pour l'année à venir... Et surtout, une année sans Bon surf !!!!

fifi29, Tout semble OK ! Je suis ravi d'avoir pu t'aider... Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse 1) Voici une liste de recommandations personnelles pour éviter de te faire infecter : 1 ) Gardez une version de Windows légale et à jour 2 ) Activez le centre de sécurité 3 ) Utilisez FireFox 4 ) Evitez les sites douteux, illégaux, pornographiques, ... 5 ) Méfiez-vous des programmes gratuits (financés par...) 6 ) Fuyez le "Peer To Peer" (Kazaa, Bearshare, ...) 7 ) Gardez un Antivirus à jour ! 8 ) Ne cliquez jamais sur des liens non annoncés dans une messagerie instantannée 9 ) N'ouvrez jamais de pièce jointe non prévue dans un mail ! 2) Tu peux dénoncer ton infection : 3) Dans 4 jours, tu pourras également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets) --> Si tu n'as plus rencontré de problèmes, évidemment ! Merci pour ta confiance ! Au plaisir !

Bonsoir fifi29, ------------> Ceci n'est pas le rapport de BFU, mais l'infection semble avoir disparu... Surveille ta machine pendant quelques jours et dis-nous ce qu'il en est à ce moment-là... ------------> Ton rapport HijackThis ne montre plus de crasse... ------------> Les deux manipulations permettent de supprimer des fichiers qui seraient "occupés" par d'autres processus ; souvent les virus se "couvrent mutuellement" pour ne pas pouvoir être supprimés... # BFU est un programme de Merijn (celui qui a écrit HijackThis) visant à exécuter une série de commandes "derrière" Windows... # Le mode sans échec de Windows est un moyen de le démarrer avec le minimum d'options possible (donc, sans les virus, normalement...) ------------> Clique sur les liens en rouge pour en apprendre plus... /\ Si tu en as encore le courage, tu peux recréer un dernier rapport BlackLight comme indiqué plus haut... et le poster ! # Tiens-nous au courant...

Coucou boume, *** Attention, HijackThis est mal placé, tu dois ABSOLUMENT le décompresser dans un dossier qui lui est propre avant de le lancer... sous peine de perdre tous tes backups *** *** Il y a effectivement des traces d'infections ! *** 1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) : O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe" O4 - Startup: desktop(2).ini O4 - Global Startup: desktop(2).ini O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://eshare.hpphoto.com/Download/HPeServicesLocalPrint.CAB ---> A "fixer" si tu n'utilises que très rarement ! O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab ---> A "fixer" si tu n'utilises que très rarement ! O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.colorclub.fr/Components/Persits...are/XUpload.ocx ---> A "fixer" si tu n'utilises que très rarement ! Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!) http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm 2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 3) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse 4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 ----> Reposte également un nouveau rapport HijackThis... ce qui fera au total 3 rapports ! # Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider ! # Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse... Bonne chance !

Bonsoir boume, *** Bienvenue sur le forum sécurité de Zebulon ! *** --> J'analyse ton rapport, retour prévu dans 20 / 30 minutes... Merci pour ta patience...

Bonsoir fifi29, ***Le rootkit est maintenant devenu visible... étrange que le BFU ne l'aie pas supprimé *** 1) Démarre en mode sans échec sur ta session comme indiqué ici 2) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante : O4 - HKLM\..\Run: [ailngdoy] c:\windows\system32\ailngdoy.exe ailngdoy 3) Toujours en mode sans échec, clique sur Démarrer, Rechercher, Tous les fichiers et tous les dossiers 4) Dans les Options avancées, vérifie que la case Rechercher dans les fichiers et les dossiers cachés est cochée ainsi que les 2 autres cases (comme sur l'image) et tape ailngdo*.* dans le premier champ (comme sur l'image) 5) Supprime tous les fichiers qu'il trouve 6) Redémarre en mode normal, poste un nouveau rapport HijackThis et un nouveau rapport BlackLight... ----> Rencontres-tu encore des problèmes avec ta machine ? --- Plein de courage pour cette dernière (j'espère...) manipulation... --- --> Les logiciels de p2p (BitTorrent) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

Bonjour fifi29, *** Super, tu poses des questions... *** ----> Oui, afin que tu puisses le poster ici même... ----> Celui que je t'ai mis en rouge ----> Le dernier que tu as créé, celui qui contient exactement ces lignes-ci : Si tu as encore d'autres questions, surtout, continue à bien les poser... on a tous des choses à apprendre !

Bonsoir fifi29, *** Je crois que tu as bien suivi la procédure, mais il y avait malheureusement une petite erreur dedans... Je suis vraiment désolé, désolé également pour le délai... *** ---> Peux-tu reprendre les étapes suivantes stp... ---> Si tu as besoin d'explications supplémentaires, je te préciserai la démarche à suivre... Merci à QC001 d'avoir été si attentif ! 1 ) Ouvre le bloc-note ---> Clique sur "Démarrer" --> Tous les programmes --> Accessoires --> Bloc-notes 2 ) Copie-colles-y ceci (sans le mot citation): 3 ) Enregistre ce fichier dans c:\BFU - Nom du fichier : aftermath.bfu - Type : tous les fichiers - Clique sur Enregistrer - Quitte le Bloc-note 4 ) Démarre en mode sans échec sur ta session comme indiqué ici 5 ) Lance le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute"); - Double-clique sur aftermath.bfu - Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" : C:\BFU\aftermath.bfu Clique sur "Exécute" et laisse-le faire son travail. Attends que "Complete script execution" apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. 6 ) Redemarre en mode "normal" Puis, reposte un nouveau rapport Hijackthis ainsi qu'un nouveau rapport Blacklight. Reçois encore toutes mes excuses, je pense que tout devrait être nettoyé après cette procédure ! Courage... on y est presque !!! P.S. : Voici quelques informations sur le rootkit auquel tu es confronté

Bonjour cperrin1, ---> Quel est son nom et l'endroit où il se cache stp ? 1) Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "France Telecom Routing Table Service " (propriétés, général, type de démarrage : DESACTIVE) 2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr" ---> Valide en appuyant sur OK ---> Laisse Windows calculer, coche toutes les cases ---> Clique à nouveau sur OK 3) Télécharge Blacklight (de F-Secure) et sauvegarde-le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse 4) Nous allons vérifier qu'il ne reste pas d'autres infections à l'aide d'un scan en ligne : Rends-toi sur le site de Kaspersky WebScanner Dans "Démonstration en ligne", tu as une explication de la marche à suivre Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne". Cette manipulation doit absolument être effectuée avec Internet Explorer Télécharge le contôle Active X, accepte . Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail". Le scan va commencer. Poste le rapport qui sera généré stp. Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 *** Suis scrupuleusement la totalité de cette procédure, si quelque chose te semble difficile, n'hésite pas à poser des questions ; nous sommes là pour t'aider !!