Tibonhomme

Bonsoir, Pas de souci Zarthan, Fais à ton rythme. Je regarderai cela dès que tu feras signe. Bonne soirée

Bonsoir, Très bien pour l'opération proposée par ticlou, cela ne peut jamais faire de mal, que du bien en cas d'erreur(s) détectées(s). Pour ce qui est de WhatInStartup de Nir Sofer, c'est un très bon programme permettant de paramétrer les applications lancées au démarrage, rien à voir avec HijackThis qui est un outil de diagnostic listant certains points sensibles du système, dont l'objet est autre. Attention cependant avec son utilisation, si tu éprouves des difficultés, n'hésite pas à poser des questions avant d'effectuer quelque modification que ce soit. A voir en fin de procédure. As-tu bien réalisé le nettoyage des outils tel que je l'ai indiqué? Continuons par quelques points essentiels, le premier étant la purge de la restauration système afin de ne pas retrouver un système en état d'infection si tu fais appel à cette fonctionnalité : Purge de la restauration système : Sous XP Clic droit sur Poste de travail / Propriétés / onglet Restauration système Coche la case Désactiver la restauration système puis clique sur Appliquer Au message affiché, clique sur Oui Redémarre l'ordinateur Puis Clic droit sur Poste de travail / Propriétés / onglet Restauration système Décoche la case Désactiver la restauration système, puis clique sur Appliquer puis OK. §§§§§§ Quelques vérification de sécurité et des mises à jour : N.B. : Apollo t'a indiqué un lien vers quelques vérifications de sécurité essentielles, nous reprenons la chose de façon un peu plus complète, si je peux me permettre. (Apollo va me souffler dans les bronches ) Windows - Vérifier les mises à jour par Menu Démarrer / Tous les programmes / Windows Update, choisir Rapide et effectuer toutes les mises à jour prioritaires N.B. : tu n'es pas obligé d'installer la KB976002 - Mise à jour de l'écran de sélection du navigateur Microsoft (parfaitement inutile). Cette mise à jour est indiquée comme ne pouvant être supprimée une fois installée (en fait elle peut l'être sous XP, suivant une procédure une peu fastidieuse). Pour information : http://windows.microsoft.com/fr-fr/windows...r-choice-update Antivirus - Vérifier que l'antivirus est actif et à jour Pare-feu - Vérifier que le pare-feu Windows est actif ou le pare-feu tiers (si installé) est actif et à jour Outil de protection résident anti-malwares (si installé) : vérifier qu'il est actif et à jour Navigateurs - Tous les navigateurs doivent être à jour. Même si Internet Explorer n'est pas le navigateur par défaut, il est impératif de le conserver à jour car utilisé par Windows (et d'autres applications) pour les mises à jour. Des malwares peuvent exploiter des vulnérabilités et s'introduire dans l'ordinateur à l'insu de l'utilisateur. Java - Vérifier que la version installée est la dernière à jour Adobe Flash Player - Vérifier que la version installée est la dernière à jour Lecteurs PDF (Adobe Reader ou autres) - Vérifier que la version installée est la dernière à jour Logiciels de compression / décompression - Vérifier que la version installée est la dernière à jour Toutes les autres applications - Vérifier que les versions installées sont également les plus récentes pour le système d'exploitation. Voir ci-dessous pour plus de détails. §§§§§§ Tu dois t'assurer d'avoir la dernière version de Java : Pour cela, rends-toi à cette page de vérification : http://www.java.com/fr/download/installed.jsp Si tu dois installer une nouvelle version de Java, désinstalle toutes les versions présentes par Ajout / Suppression de programmes (sous Vista - Windows 7, par Programmes et Fonctionnalités / Supprimer un programme). Téléchargement de Java (choisir Windows...Hors ligne) : http://www.java.com/fr/download/manual.jsp Important : décocher toute installation de toolbar ou d'application additionnelle proposée! Télécharge JavaRa.zip de Paul McLain et Fred de Vries Cliquer sur Download Windows Binary (.zip file) : http://raproducts.org/ C'est un exécutable, il ne nécessite pas d'installation. Décompresser le fichier sur le bureau. Double-cliquer sur le répertoire JavaRa. Puis double-cliquer sur le fichier JavaRa.exe (sous Vista, clic droit / Exécuter en tant qu'administrateur) Choisir le langage français puis cliquer sur Sélectionner. Cliquer sur Effacer les anciennes versions. Cliquer sur Oui pour confirmer. Cliquer ensuite sur OK à chaque fenêtre d'invite. Un rapport propose de s'ouvrir, listant ce qui a été exécuté. Inutile de le copier. Cliquer sur Autres Options puis cocher Effacer les fichiers JRE inutiles puis cliquer sur Exécuter. A la fenêtre qui s'ouvre, cliquer sur OUI et fermer l'application. Tu peux supprimer le JavaRa.zip et conserver le dossier JavaRa. Menu Démarrer / Panneau de configuration / double-clique sur l'icône Java Sous Vista / Windows 7 : Panneau de configuration, change le mode d'affichage à "Grandes icônes" ou "Petites icônes" selon ta préférence pour afficher l'icône Java. Onglet Avancé / clique sur le [+] devant Divers puis décoche Java Quick Starter Clique sur Appliquer puis OK. §§§§§§ Vérifie que Adobe Flash Player est à jour : http://www.adobe.com/software/flash/about/ Si ce n'est pas le cas : Désinstalle la (les) version(s) présente(s) par Ajout / Suppression de programmes ( sous Vista - Windows 7, par Programmes et Fonctionnalités / Supprimer un programme) Démarre Internet Explorer et Installe la dernière version - voir page de téléchargement ci-dessous Si tu utilises d'autres navigateurs (Mozilla Firefox, Opera, Chrome, Safari) Télécharge ensuite le plugin complémentaire pour les autres navigateurs sur la même page Téléchargement : http://www.adobe.com/fr/products/flashplayer/ Important : décocher toute installation de toolbar ou d'application additionnelle proposée! Tutoriel sur libellules.ch : http://www.libellules.ch/faq_flash_plugin.php §§§§§§ Si Adobe Reader est installé, vérifie que tu disposes de la dernière version Double-clique sur l'icône Adobe Reader Menu Aide / Rechercher les mises à jour / installer les mises à jour proposées. Si Adobe Reader est plus ancien que la version 9.1, le télécharger ici : http://www.adobe.com/fr/products/reader/ Désinstalle la version présente et obsolète par Ajout / Suppression de programmes ( sous Vista - Windows 7, par Programmes et Fonctionnalités / Supprimer un programme) §§§§§§ Vérifie que toutes les applications installées sont à jour : Télécharge et installe Secunia Personal Software Inspector (PSI) : http://secunia.com/vulnerability_scanning/personal/ Choisit le Mode d'affichage Avancé. Effectue un scanner complet et applique les actions correctives de façon à ce que tout soit à jour et que les versions ou fichiers obsolètes soient supprimés. Si des versions obsolètes sont indiquées par PSI, les désinstaller par Ajout / Suppression de programmes ( sous Vista - Windows 7, par Programmes et Fonctionnalités / Supprimer un programme). Si des fichiers ou dossiers obsolètes subsistent après installation des dernières versions, suivre le chemin de fichier ou dossier indiqué par PSI et supprimer manuellement. Tutoriel par australien : http://forum.pcastuces.com/tutoriel_secuni...i-f25s53229.htm §§§§§§ Paramétrer les services - Désactiver ou passer en mode manuel les services inutiles au démarrage Un certain nombre de services n'ont pas besoin d'être lancés au démarrage ou peuvent être désactivés pour des raisons de sécurité. Important - sous Vista et plus encore sous Windows 7 : ces OS nécessitent plus de services que XP, ne pas les désactiver mais plutôt les passer en mode démarrage Manuel si l'on est pas sûr à 100% de ce que l'on fait. Tutoriels ici : http://www.pcastuces.com/pratique/windows/services/page2.htm http://speedweb1.free.fr/frames2.php?page=service3 En cas de doute sur des services, ne pas hésiter à demander. §§§§§§ Une fois tout cela fait : Télécharge ATF-Cleaner par Atribune : http://www.atribune.org/index.php?option=c...5&Itemid=25 ATF-Cleaner est un utilitaire de suppression des fichiers temporaires inutiles, caches, historiques de navigation, cookies. A conserver et à utiliser quotidiennement ou après chaque navigation. C'est un exécutable, il ne nécessite pas d'installation. Double-clique sur ATF-Cleaner.exe (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Onglet Main, coche Select All Clique sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Firefox : Clique sur Firefox en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Opera : Clique sur Opera en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Pour terminer, clique sur Main puis sur Exit. Utilise Temp File Cleaner (TFC) de Old Timer que tu possèdes déjà (Apollo te l'a fait télécharger ) : TFC est un utilitaire de suppression des fichiers temporaires inutiles présents dans tous les comptes utilisateurs et les navigateurs. C'est un exécutable, il ne nécessite pas d'installation. Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement) Double-clique sur TFC.exe (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Clique sur Start Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes) Si l'outil demande à redémarrer par la fenêtre suivante : Clique sur Yes Si l'outil ne propose pas le redémarrage, redémarrer manuellement. ATF-Cleaner est à conserver. TFC, à toi de voir. Si tu veux l'utiliser, pense bien à suivre la procédure et à sauvegarder tous tes travaux en cours sinon ils seront irrémédiablement perdus. Si tu ne désires pas le conserver, il suffit de supprimer TFC.exe. §§§§§§ Poste un nouveau rapport HijackThis, s'il te plaît. Nous terminerons par quelques modifications dans le registre concernant le démarrage, et des conseils et liens utiles pour la sécurité. @+

Merci Zarthan, Tu as donc maintenant un dossier C:\Program Files\Trend Micro\HiJackThis dans lequel se trouvent l'exécutable HiJackThis.exe et le rapport (lorsque généré par le bouton du Main Menu Do a system scan and save a log file) hijackthis.log, auxquels viendra s'ajouter un dossier backups contenant les lignes supprimées (fixées) et permettant justement un retour en arrière en cas de souci. Pour répondre à ta question, un certain nombre de programmes sont paramétrés par défaut pour être lancés automatiquement au démarrage, alors qu'ils sont parfaitement inutiles à ce moment-là, consomment inutilement des ressources et peuvent parfaitement être démarrés à la demande par la suite. Rien de ce qui est indiqué dans les lignes O4 n'est indispensable, et si certaines applications sont conservées c'est plus par souci de sécurité (éviter des oublis) et de confort. Ainsi seuls sont véritablement nécessaires les outils de sécurité (antivirus, pare-feu tiers si présent, anti-malware résident) et de connexion réseau. En pratique, on conserve souvent plus d'applications lancées au démarrage que cela : optimisation ne veut pas dire suppression de tout confort de travail. Le cas des portables est un peu plus délicat, certaines applications propriétaires étant très imbriquées avec les système d'exploitation version OEM. Fixer des lignes O4 revient donc à opérer des modifications sur le registre concernant des clés Run ou RunOnce. Rien de ce qui est fait n'est irréversible et la restauration des clés est possible. Les lignes indiquées par ticlou sont effectivement inutiles. Mais avant tout, si tu le veux (le vaut... ) bien, nous allons vérifier un certain nombre de points importants. Ainsi, s'il y a des modifications effectuées sur le système et le registre, nous traiterons cela en 1 fois en revenant sur le rapport HijackThis à la fin. Je te prépare cela (j'ai quelques obligations personnelles immédiates) @+

Bonjour Zarthan, Edit : pas vu le message de ticlou. Salut à toi. Merci pour le rapport HijackThis. Apollo et toi avez fait tout le boulot le plus difficile. Nous allons maintenant essayer d'améliorer et sécuriser un peu mieux ta machine, à côté de ce qui a été fait, ce sera simple. On commence par le nettoyage des outils utilisés : * Supprime rkill.exe (sur le bureau) et le dossier C:\rkill.log. * Supprime TDSSKiller.zip, TDSSKiller.exe et le fichier texte des conditions de licence EULA.txt (sur le bureau) * Supprime C:\TDSSKiller.txt Conserve MBAM en version gratuite pour analyse à la demande, c'est l'anti-malwares généraliste grand public le plus efficace actuellement. Supprime également HiJackThis.exe et son rapport (sur le bureau). Je vais te faire utiliser la version installable. Je t'expliquerai pourquoi. Installe-le suivant la procédure ci-dessous et reposte un nouveau rapport s'il te plaît. Télécharge HijackThis v2.0.4 (nouvelle version) (Choisir le programme d'installation Installer - HijackThis.msi): http://free.antivirus.com/hijackthis/ L'enregistrer sur le bureau. Double-cliquer sur l'installateur (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Installer dans C:\ (pas dans un dossier temporaire). Par défaut c'est : C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe A la fenêtre d'avertissement, accepter Double-cliquer sur HijackThis.exe pour le lancer (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Dans la fenêtre de Menu Principal (Main Menu), cliquer sur Do a system scan and save a logfile Le rapport s'ouvre automatiquement dans le Bloc-notes, Copier-coller l'intégralité du rapport dans ton prochain message (si tu ne le retrouves pas il est ici : C:\Program Files\Trend Micro\HiJackThis\hijackthis.log). Si c'est l'exécutable HiJackThis.exe qui est téléchargé ou lors d'analyses ultérieures avec la version installée : L'outil s'ouvre directement sur la fenêtre d'analyse. Dans ce cas, cliquer sur Scan N.B. : c'est l'ouverture par défaut si dans le Menu Principal (Main Menu) la case Do not show this window when I start HijackThis est restée cochée Une fois le rapport généré, cliquer sur Save log Enregistrer le rapport sur le bureau (ou un autre enplacement de ton choix - pas dans un dossier temporaire). Par défaut, l'enregistrement est effectué dans C:\Documents and Settings\ton nom d'utilisateur\Mes documents Le rapport s'ouvre automatiquement dans le Bloc-notes, Copier-coller l'intégralité du rapport. Des informations complémentaires ici : http://www.libellules.ch/poster_log_hijackthis.php A te lire

Bonjour ctrlaltsupp, Hum, il est (ou était) pourtant bien là : Tu n'avais rien fait d'autre qu'éteindre l'ordinateur et le remettre en marche entre le rapport RSIT et la recherche pour envoi à Virus Total ? Que cela donne-t-il avec l'affichage des fichiers cachés : Pour visualiser les fichiers et dossiers cachés sous XP : Double-clique sur Poste de travail / onglet Outils / Options des dossiers / Affichage Coche la case Afficher les fichiers et les dossiers cachés Décoche les 2 cases Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation (recommandé) - une fenêtre va s'ouvrir, confirme Puis clique sur Appliquer puis OK. Tu pourras revenir à l'affichage standard en exécutant les opérations inverses. Si le fichier reste introuvable, il va falloir recommencer l'opération pour vérifier s'il s'est par hasard recréé sous un autre nom (et dans ce cas si c'est ce que je soupçonne...bah attendons de voir.) . En revanche, il va être nécessaire d'effectuer toutes les opérations dans la foulée, sans interruption. Indique-moi à quel moment tu seras disponible pour effectuer de nouveau tout cela, je m'arrangerai pour être synchro avec toi. A te lire

Re, Ton pc est infecté. Ne t'en fais pas, tu sera tiré d'affaire. Je t'indique ci-dessous comment procéder. N.B. : ce ne sont pas les infections présentes qui provoquent le remplissage du disque. je pense plutôt à une application comme AD-Aware avec ses modules de surveillance en temps réel qui créent des fichiers temporaires à qui mieux mieux, ou autre. A creuser. Ne modifie rien pour le moment. Le helper qui te prendra en charge te donnera toutes les procédures à suivre. Ton sujet va être transféré en section Analyses et éradication malwares. Clique sur le bouton "Signaler un contenu abusif" en dessous de mon message (tu dois être connecté avec ton identifiant et ton mot de passe pour voir ce bouton). Dans la fenêtre qui s'ouvre, demande à ce que ton sujet soit déplacé en section de désinfection et indique le lien (adresse URL) vers celui-ci. Soit patient, il y a pas mal de demande d'aide et les membres de l'Equipe Sécurité prennent sur leur temps libre pour porter assistance. Ne répond pas à ce message, s'il te plaît. Attends d'être pris en charge dans l'autre section. Edit pour précisions complémentaires. Ni Ad-Aware ni Spybot S&D ne te protégeront en quoi que ce soit face aux menaces actuelles, ils sont dépassés, parfaitement inutiles et leurs modules résidents à tous deux posent souvent des problèmes. Le helper qui t'assistera te dira comment procéder pour les supprimer, si tu le désires. Edit du 21/05 : je vois que le sujet n'est pas encore déplacé. Peut-être ta demande n'a-t-elle pas été vue. J'enverrai un MP à un modérateur. Bonne continuation

Bonjour CONDOLO, Bienvenue sur le forum Comme tu es nouveau / nouvelle, voici quelques informations qui te seront utiles : Comment participer à un forum Retrouver ses messages et activer la notification par email Nous allons regarder ce qui se passe sur ton ordinateur. Si il reste des traces d'infection, alors je t'orienterai vers la section dédiée. Télécharge Random's System Information Tool (RSIT) de random/random : http://images.malwareremoval.com/random/RSIT.exe RSIT, outil d'aide au diagnostic, établit un rapport détaillé sur le système. Il n'opère aucune suppression. ------ Sous Windows 7 : Clic droit sur l'icône de RSIT / Propriétés Onglet Compatibilité, cocher Executer ce programme en mode de compatibilité pour Dans la liste déroulante, choisir Windows Vista SP2 Dans Niveau de privilèges, cocher la case Exécuter en tant qu'administrateur Cliquer sur Appliquer puis Ok. ------ Double-clique sur RSIT.exe afin de lancer RSIT (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) A l'écran Disclaimer, clique sur Continuer Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera. Accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Copie-colle le contenu de log.txt (affiché à l'écran) puis celui de info.txt (réduit dans la Barre des Tâches) dans ton prochain message. Si ces fichiers sont trop longs, mets-les dans 2 messages successifs. Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit N.B. : pour sélectionner tout le texte une fois dans le rapport texte, appuie sur les touches [Ctrl] + [A], puis clic droit / copier. une fois dans ton nouveau message sur le forum, clic droit puis coller à l'endroit où tu veux coller l'intégralité du texte. Au cas où - tutoriel installation et génération des rapports RSIT : http://aide-malware.forumactif.net/tutorie...ol-rsit-t29.htm A te lire

Bonjour ctrlaltsupp, Il reste un service TightVNC. Pas de souci avec ça, nous le supprimerons. Tu utilisais TeamViewer en version portable, il n'y avait donc pas d'installation. Si ces 2 applications ne te sont plus utiles, supprime les autorisations dans le pare-feu Windows, cela est préférable : Menu Démarrer / Panneau de configuration / Pare-feu Windows / onglet Exceptions, décoche TightVNC Win32 Server et TeamViewer ou supprime carrément ces 2 entrées. OK pour le boot.ini. En revanche la DEP (prévention de l'exécution des données) n'est pas activée. Cette fonctionnalité Windows est-elle également absente sur ton système ? Depuis le SP2, ton boot.ini devrait être par défaut : [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect Si c'est pour le nettoyage des fichiers temporaires, caches, historiques etc..., pas de problème. En revanche, il est déconseillé d'utiliser la fonction de nettoyage de registre (tous les nettoyeurs automatiques de registre du reste sont à éviter). Au mieux, tu ne gagnes strictement rien, et dans bien des cas tu risques de fort désagréables surprises, et ceci sur un système standard. Alors utiliser un tel outil sur un système modifié de surcroît, c'est faire courir de gros risques à ton OS ! A plus tard avec le rapport Virus Total

Bonsoir ctrlaltsupp, Bah, c'est ce que j'appellerais une fausse bonne idée, pour toutes les raisons évoquées dans mon précédent message. Il est préférable d'effectuer l'installation d'un OS Windows authentique et complet, et désactiver, une fois que tout est à jour, les fonctionnalités et services inutiles. L'idéal étant de réaliser une image disque de temps en temps, qui te permettra, en cas de gros plantage, de retrouver ton système en parfait état de marche dans sa configuration antérieure au problème. Il y aurait pas mal à dire sur ton système : utilitaires de contrôle à distance et services de connexion et de partage de fichiers à distance (te sont-ils réellement utiles, et ce dès le démarrage?), émulateur cd lancé au démarrage (que de ressources englouties ), quelques applications pas à jour. Pour le moment, j'aimerais que tu effectues les 2 procédures suivantes, s'il te plaît : Ouvre le fichier suivant : C:\boot.ini (avec le Bloc-Notes) Copie-colle tout son contenu dans ton prochain message. Nous allons vérifier un driver sur lequel je n'ai pas d'information valable : Rends-toi sur la page de Virus Total : http://www.virustotal.com/fr/ Clique sur Parcourir... Recherche ce fichier : C:\Windows\system32\drivers\avxyt8hi.sys Clique sur Envoyer le fichier Si tes outils de sécurité réagissent à l'envoi du fichier, ignore les alertes Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant (Reanalyse file now) Un message va s'afficher (n'interromps pas l'analyse en cours) : Si le fichier est mis en file d'attente en raison d'un grand nombre de demandes d'analyses, patiente. Ne réactualise pas la page Lorsque l'analyse est terminée un message s'affiche : Clique sur Formaté (en haut à gauche) Une nouvelle fenêtre apparaît. Clique sur l'image bleue avec les 2 flèches Clic droit sur la page / Sélectionner tout / Copier Colle le rapport d'analyse dans ta prochaine réponse, quel que soit le résultat du rapport. A te lire

Bonsoir jp9905, C'est une erreur qui revient parfois avec ce logiciel. Bug? Incompatibilité avec certains disques durs? Difficile de se faire une opinion tranchée. Plusieurs internautes ont signalé ce souci sur le forum de l'éditeur (en anglais) : http://forum.easeus.com/viewtopic.php?t=18...eb502e0f5e80541 Tu peux toujours effectuer une vérification de ton disque dur avec réparation des erreurs trouvées : Menu Démarrer / Exécuter / Tape cmd puis valide par OK ou la touche [Entrée] Dans la fenêtre qui s'ouvre tape directement chkdsk c: /F/R puis valide par la touche [Entrée] (je suppose que c'est ta partition C: que tu veux cloner et qui pose problème, si c'est une autre partition, change la lettre) Un message te proposant de réaliser l'opération au redémarrage apparaît, tape O pour valider Attends patiemment la fin de l'exécution de l'outil, cela peut être long Lorsque cela sera terminé, Menu Démarrer / Exécuter / Tape cmd puis valide par OK ou la touche [Entrée] Dans la fenêtre qui s'ouvre tape directement fsutil dirty query C: puis valide par la touche [Entrée] Un message devrait s'afficher : C'est que le disque n'a pas de secteur défectueux. Tape exit puis valide par la touche [Entrée] pour fermer l'invite de commande. Retente une image disque avec Easeus Todo Backup. Si cela ne fonctionne toujours pas, utilise alors Drive Backup 9.0 Free Edition : Drive Backup 9.0 Free Edition de Parangon Software Group est aussi un outil gratuit, en français (non compatible Windows 7) : http://www.paragon-software.com/fr/home/db...s/download.html Je suis également le topic avec Loup Blanc. A te lire

Bonsoir gwen, Merci de cette attention.. C'était un plaisir de t'aider. Si par hasard tu croises Pear, buvez un coup à la santé de Zebulon. :P Bye

Bonsoir, En fait, ce n'est pas exactement cette fenêtre que je te demandais, mais celles des groupes de clés en amont : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ et HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ (voir la 2nde procédure indiquée dans mon message #30). Pas grave. Si tu trouves trop rébarbatif d'effectuer les captures d'écran, vérifie au moins, s'il te plaît, que tout semble OK pour les autorisations. Ces clés n'ont très probablement pas été affectées, tu confirmes du reste que tout va bien, c'est plus par souci de ne pas laisser traîner des mauvais paramétrages. Le rapport SystemLook est nickel, tout s'est remis en place, par conséquent aucune correction à effectuer dans le registre à ce niveau. Pour la partie audio, n'oublie pas que tu peux paramétrer les sons par le Panneau de configuration / Sons et périphériques audio / onglet Sons. Nous terminons : Supprime Fix IE.zip et le dossier Fix IE sur ton bureau (si encore présents). Supprime SystemLook.exe et SystemLook.txt. Nous allons supprimer les points de restauration antérieurs aux modifications dans le registre et créer de nouveaux points de restauration sains : Effectue une nouvelle sauvegarde manuelle des ruches système avec ERUNT selon les tutoriels ci-dessous : Tutoriel de Marie : http://www.vista-xp.fr/forum/topic77.html Autre tutoriel par Topxm : http://www.malekal.com/tutorial_ERUNT.php Si tu n'as pas de raccourci ERUNT sur le bureau, l'exécutable est ici : C:\Program Files\ERUNT\ERUNT.EXE Une fois cela fait, rends-toi dans le dossier C:\WINDOWS\ERDNT. * Supprime le dossier nommé 09-05-2010. Il doit rester le dossier de sauvegarde manuelle nommé 17-05-2010. * Double-clique sur le dossier AutoBackup pour l'ouvrir et supprime tous les dossiers à l'intérieur (nommés par date). Ne supprime pas le dossier Autobackup. Purge de la restauration système : Sous XP Clic droit sur Poste de travail / Propriétés / onglet Restauration système Coche la case Désactiver la restauration système puis clique sur Appliquer Au message affiché, clique sur Oui Redémarre l'ordinateur Puis Clic droit sur Poste de travail / Propriétés / onglet Restauration système Décoche la case Désactiver la restauration système, puis clique sur Appliquer puis OK. Enfin, un peu de nettoyage : Télécharge ATF-Cleaner par Atribune : http://www.atribune.org/index.php?option=c...5&Itemid=25 ATF-Cleaner est un utilitaire de suppression des fichiers temporaires inutiles, caches, historiques de navigation, cookies. A conserver et à utiliser quotidiennement ou après chaque navigation. C'est un exécutable, il ne nécessite pas d'installation. Double-clique sur ATF-Cleaner.exe (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Onglet Main, coche Select All Clique sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Firefox : Clique sur Firefox en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Opera : Clique sur Opera en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Pour terminer, clique sur Main puis sur Exit. Télécharge Temp File Cleaner (TFC) de Old Timer : http://www.geekstogo.com/forum/TFC-Temp-Fi...er-file187.html TFC est un utilitaire de suppression des fichiers temporaires inutiles présents dans tous les comptes utilisateurs et les navigateurs. C'est un exécutable, il ne nécessite pas d'installation. Enregistre-le sur le Bureau Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement) Double-clique sur TFC.exe (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Clique sur Start Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes) Si l'outil demande à redémarrer par la fenêtre suivante : Clique sur Yes Si l'outil ne propose pas le redémarrage, redémarrer manuellement. ATF-Cleaner est à conserver. TFC, à toi de voir. Si tu veux l'utiliser, pense bien à suivre la procédure et à sauvegarder tous tes travaux en cours sinon ils seront irrémédiablement perdus. Si tu ne désires pas le conserver, il suffit de supprimer TFC.exe. Voilà... Si tu as des questions, n'hésite pas. Dans le cas contraire, tu peux passer le sujet en Résolu. Pour cela : Merci de cliquer sur le bouton Editer en-dessous de ton 1er message dans ce sujet, puis sur Editer complètement et insère [Résolu] dans le titre de ton sujet. Bonne continuation Et prudence sur le Net.

Re-bonjour ctrlaltsupp, Ton système d'exploitation n'est pas un XP Pro authentique et complet. C'est un système modifié et allégé. Des composants et services système sont manquants. D'où vient-il? Les systèmes de ce type, outre leur aspect parfois illégal, peuvent amener bien des désagréments. Les applications peuvent ne pas fonctionner normalement, et en cas de problème, les utilitaires ordinairement conseillés peuvent s'avérer au mieux inopérants, au pire endommager le système. De plus en cas d'infection, il n'y aura pas de prise en charge sur un forum sécurité, car les outils de désinfection, conçus pour traiter des systèmes standards, réagissent fort mal sur des systèmes modifiés, avec un risque élevé de plantage total de l'ordinateur. Il est toujours préférable d'installer un authentique système complet, quitte à désactiver certaines fonctionnalités ou certains services par la suite. D'autre part, il ressort une chose curieuse : Pourquoi y-a-t-il recréation du boot.ini et du dossier de backup? Est-ce toi qui a créé ce système allégé ? Disposes-tu d'un cd original de XP Pro? A te lire

Bonjour gwen44, Impeccable! Les autorisations de ces clés étaient corrompues, le fait d'y avoir mis bon ordre a rétabli les fonctionnalités audio. Tu as donc très bien suivi la procédure, beau boulot. Effectue, s'il te plaît, les captures d'écran que je t'ai demandées (voir fin de mon message #30). Je voudrais vérifier que les groupes de clés en amont sont normalement paramétrés. Oui, également, afin de voir si tout y est. Ne te fais pas de souci. Nous allons tout remettre d'aplomb et réinscrire ce qui manque dans le registre. Je t'indiquerai la méthode à suivre (je prépare cela). Tu verras, rien de bien compliqué. Puis nous terminerons par un peu de nettoyage dans les sauvegardes système. Nous tenons le bon bout. Le plus délicat est fait. @+

Bonjour ctrlaltsupp, Bienvenue sur le forum Comme tu es nouveau / nouvelle, voici quelques informations qui te seront utiles : Comment participer à un forum Retrouver ses messages et activer la notification par email Commence, s'il te plaît, par recocher tout ce qui est décoché au démarrage dans Msconfig. Télécharge Random's System Information Tool (RSIT) de random/random : http://images.malwareremoval.com/random/RSIT.exe RSIT, outil d'aide au diagnostic, établit un rapport détaillé sur le système. Il n'opère aucune suppression. ------ Sous Windows 7 : Clic droit sur l'icône de RSIT / Propriétés Onglet Compatibilité, cocher Executer ce programme en mode de compatibilité pour Dans la liste déroulante, choisir Windows Vista SP2 Dans Niveau de privilèges, cocher la case Exécuter en tant qu'administrateur Cliquer sur Appliquer puis Ok. ------ Double-clique sur RSIT.exe afin de lancer RSIT (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) A l'écran Disclaimer, clique sur Continuer Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera. Accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Copie-colle le contenu de log.txt (affiché à l'écran) puis celui de info.txt (réduit dans la Barre des Tâches) dans ton prochain message. Si ces fichiers sont trop longs, mets-les dans 2 messages successifs. Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit N.B. : pour sélectionner tout le texte une fois dans le rapport texte, appuie sur les touches [Ctrl] + [A], puis clic droit / copier. une fois dans ton nouveau message sur le forum, clic droit puis coller à l'endroit où tu veux coller l'intégralité du texte. Au cas où - tutoriel installation et génération des rapports RSIT : http://aide-malware.forumactif.net/tutorie...ol-rsit-t29.htm Si l'OS est en 64 bits, utiliser ZHPDiag de Nicolas Coolman. Télécharger ZHPDiag de Nicolas Coolman : http://telechargement.zebulon.fr/zhpdiag.html Le programme ne nécessite pas d'installation. Double-cliquer sur ZHPDiag.exe pour lancer l'application Cliquer sur l'icône "Tournevis" et cocher tout Cliquer sur l'icône "Loupe" pour lancer l'analyse Si une fenêtre "Accepter Sysinternal" apparaît, accepter A la fin de l'analyse (qui peut être longue), cliquer sur l'icône Appareil photo" pour copier le rapport Coller ce rapport dans le message. N.B. : cet outil est bien évidemment parfaitement compatible avec les OS en 32 bits. A te lire

Bonjour annelisa, Bienvenue sur le forum Comme tu es nouvelle, voici quelques informations qui te seront utiles : Comment participer à un forum Retrouver ses messages et activer la notification par email Ah, alors s'il s'agit de paix des ménages... C'est un peu hors du champ d'intervention de cette section du forum. Mais nous allons voir ce que nous pouvons faire. Pourrais-tu préciser s'il te plaît? Si je comprends bien, ton ami envoie un ping vers ton IP voir voir si tu es connectée, c'est bien cela? Essaie cette procédure (à tester avec quelqu'un de ton entourage pour le résultat d'un ping). Comme tu ne précises pas ton système d'exploitation, j'ai indiqué une procédure pour XP. Sous XP : Si tu utilises le pare-feu Windows XP par défaut (si tu utilises un autre pare-feu, c'est dans le paramétrage de celui-ci qu'il faut rechercher). Menu Démarrer / Panneau de configuration / Connexions réseau Clic droit sur la connexion active utilisée (par exemple "Connexion au réseau local") / Propriétés / onglet Avancé Clique sur Paramètres... / onglet Avancé Sélectionne la connexion active / clique sur Paramètres... Onglet ICMP / décoche la 1ère case Autoriser une requête d'écho entrante (tu peux tout décocher dans la liste) puis clique sur OK Toujours dans ce même onglet Avancé du Pare-feu, dans le cadre ICMP, clique sur Paramètres... Décoche la 1ère case Autoriser une requête d'écho entrante puis clique sur OK puis ferme successivement les fenêtres en cliquant sur OK. N.B. : en revanche, je ne suis pas sûr que cette procédure permette à toutes les applications qui ont besoin de se connecter, de continuer à fonctionner normalement (à voir auprès des spécialistes). L'idéal est d'utiliser un pare-feu tiers (autre que celui de Windows, particulièrement si tu es sous XP). Regarde également du côté du paramétrage de ta Freebox (si pare-feu intégré). Autre possibilité : utiliser une adresse IP dynamique si cela est possible. Quant à la totale invisibilité sur le Net, c'est illusoire. Si des spécialistes réseau passent dans le coin, ils te donneront sans doute des informations plus appropriées. A te lire

Nous continuerons demain. La clé Terminal Server que tu vois plus bas n'est pas concernée. Laisse de côté Terminal Server et RDP pour le moment. Effectue les captures d'écran que je t'ai demandées, s'il te plaît. Redémarre l'ordinateur. Nous allons de nouveau utiliser SystemLook de jpshortstuff : Double-clique sur SystemLook.exe Copie tout le texte contenu à l'intérieur de la fenêtre Code ci-dessous : :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /sub Colle ce texte dans la fenêtre texte principale de SystemLook Clique sur Look et laisse l'outil travailler A la fin de la recherche, le Bloc-notes s'ouvre avec le rapport de recherche Copie-colle le contenu de ce rapport en entier dans ton prochain message. Le rapport se trouve également sur le bureau, nommé SystemLook.txt. @+

Oui, alors tu cliques seulement sur OK. Pas de souci avec ça. @+

Parfait. Je comprends. Sois assuré que je ne te ferai rien exécuter qui puisse endommager ton système et que nous n'effectuerons aucune modification sans avoir au préalable pris les mesures de sécurité nécessaires. Je m'efforce d'être le plus clair et le plus précis possible. Mais si tu as des craintes ou des doutes à un moment donné d'une procédure, interromps-la et n'hésite pas à poser des questions. On retourne dans la base de registre : Menu Démarrer / Exécuter ou par les touches [Windows] (avec le logo) + [R] Dans la fenêtre qui s'ouvre tape directement regedit puis valide par OK ou la touche [Entrée], cela ouvre l'Editeur du Registre Rends-toi à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 Clic droit sur Drivers32 / Autorisations... / clique sur Paramètres avancés (en bas) puis sur l'onglet Autorisations Tu dois obtenir cette fenêtre (ta capture d'écran) : http://cjoint.com/data/fknk6avHIf.htm Sélectionne la 1ère ligne Refuser - Administrateurs (SY4PUNF16\Administrateurs) - Lecture - <non héritée> puis clique sur Supprimer Fais de même avec les 2 lignes suivantes : Refuser - Administrateurs (SY4PUNF16\Administrateurs) - Spécial - <non héritée> et Autoriser - CREATEUR PROPRIETAIRE - Spécial - <non héritée> Il ne doit te rester que les 4 dernières lignes de type Autoriser. Clique sur Appliquer puis sur OK Dans la fenêtre qui s'affiche, clique de nouveau sur Appliquer (si non grisé) puis sur OK. Clique sur le [+] à côté de Drivers32 puis clic droit sur Terminal Server / Autorisations... / clique sur Paramètres avancés (en bas) puis sur l'onglet Autorisations Vérifie si les 3 lignes que tu as supprimées dans Drivers32 sont également présentes ici. Si c'est le cas, supprime-les de la même manière. Clique sur le [+] à côté de Terminal Server puis clic droit sur RDP / Autorisations... / clique sur Paramètres avancés (en bas) puis sur l'onglet Autorisations Vérifie si les 3 lignes que tu as supprimées dans Drivers32 sont également présentes ici. Si c'est le cas, supprime-les de la même manière. On reste dans le registre pour une autre vérification : Rends-toi à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Clic droit sur CurrentVersion / Autorisations.... Effectue, s'il te plaît, une capture d'écran de cette fenêtre pour chaque nom d'utilisateur listé (comme tu l'as très bien fait pour la clé Drivers32) Clique sur Paramètres avancés (en bas) puis sur l'onglet Autorisations, Effectue, s'il te plaît, une capture d'écran de cette fenêtre Clique sur l'onglet Propriétaire, Effectue, s'il te plaît, une capture d'écran de cette fenêtre. Puis rends-toi à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ Clic droit sur Windows NT / Autorisations.... Effectue, s'il te plaît, une capture d'écran de cette fenêtre pour chaque nom d'utilisateur listé Clique sur Paramètres avancés (en bas) puis sur l'onglet Autorisations, Effectue, s'il te plaît, une capture d'écran de cette fenêtre Clique sur l'onglet Propriétaire, Effectue, s'il te plaît, une capture d'écran de cette fenêtre. Ferme l'Editeur du Registre. A te lire

Bonjour gwen44, Désolé pour ce retard de réponse. Des impératifs imprévus, tant professionnels que personnels, ne m'ont pas permis de disposer d'être suffisamment disponible sur le forum. Merci pour toutes les captures d'écran, impeccable Cela permet de mieux définir le problème : des autorisations ont été modifiées, peut-être par les infections dont tu as été victime. Dans cette capture : http://cjoint.com/data/fknk6avHIf.htm Les 3 premières lignes sont illégitimes. Il va falloir également effectuer d'autres vérifications. Avant d'opérer quelque manipulation que ce soit, j'aimerais que nous fassions un contrôle des sauvegardes de la BDR : Rends-toi dans ce dossier : C:\WINDOWS\ERDNT Tu dois y trouver 2 dossiers : 1 nommé 09-05-2010 (c'est ta sauvegarde manuelle si effectuée ce jour-là) + 1 nommé AutoBackup (qui contient les sauvegardes automatiques). Est-ce bien le cas? A te lire

Bonjour jp9905, Continue à suivre les indications de Loup blanc pour ce lecteur F:. Il y a peut-être un blocage quelconque qui empêche l'outil de sauvegarde de bien fonctionner. Privilégie le système de fichiers NTFS, il permet un accès beaucoup plus rapide aux données et améliore la sécurité (désignations d'attributs spécifiques pour les fichiers, cryptage...). Ce disque est partitionné de cette façon d'origine? Peux-tu modifier les systèmes de fichiers (convertir la partition FAT32 en NTFS par exemple)? @+

Bonsoir gwen44, Merci pour les captures d'écran, excellent idée. Je regarde cela, prends conseils, et te dis. Pourrais-tu, s'il te plait, me faire une capture d'écran de l'onglet Propriétaire dans les Paramètres avancés. Je pense que tu dois te sentir à l'aise maintenant avec les propriétés des clés. J'avoue que je ne comprends pas bien. Sur le Bureau, c'est bien le fichier d'installation que tu as ? Sinon, est-ce que tu as le dossier C:\WINDOWS\ERDNT ? Merci. A te lire

Pas de souci. Je sais, ce n'est pas toujours facile de s'y retrouver dans certaines pages. C'est pour cette raison qu'il vaut mieux bien lire avant et repérer où sont les bons liens de téléchargement. Au besoin demander. Donc tu as bien fait. @+

Bonjour gwen44, Merci pour la capture d'écran. Elle montre que tu n'es pas au bon endroit : tu es dans l'onglet Autorisations, et non sur la fenêtre principale Autorisations pour Drivers32, celle sur laquelle tu arrives par clic droit sur la clé Drivers32. C'est dans celle-là qu'il faut vérifier ce que je t'ai indiqué. Sinon le reste est bon ? Tu as effectué une sauvegarde avec ERUNT ? @+

Ah bah, si tu cliques sur les encarts publicitaires dans les liens indiqués, ça ne va pas le faire évidemment! Le 1er lien pointe vers une présentation du programme par krigou, avec lien vers la page officielle à la fin. Je t'ai également indiqué le lien direct pour le téléchargement. Il ne faut pas s'amuser à cliquer à droite à gauche dans les pages, sinon tu risques d'avoir de mauvaises surprises sur le Net... Je te remets le détail ci-dessous : Easeus Todo Backup de CHENGDU YIWO Tech Development Co. est un outil gratuit, très complet, en anglais, compatible toutes versions de Windows depuis Windows 2000 (non compatible avec les disques SSD). Présentation par krigou : http://www.libellules.ch/dotclear/index.ph...sus-Todo-Backup Téléchargement : http://www.todo-backup.com/products/home/ Tutoriels - en anglais : http://www.todo-backup.com/products/features/ @+