Pubs intempestives & sutout une pub spyware qui modifie mon fond d

[Belladonna]

Merci Beaucoup !

[wong]

Bonjour Belladonna,

 

NOTE : Etant donné la longueur de la procédure, je te conseille de l'imprimer ( ou de sélectionner toutes les lignes, puis de copier cette sélection dans un fichier texte sur ton PC ).

 

En mode sans échec tu n'auras pas accès à Internet. Il faut exécuter toutes les étapes sans interruption, dans l'ordre exact indiqué ci-dessous. Si tu ne comprends pas un élément, demande des explications avant de commencer la désinfection.

 

Cette procédure doit être effectuée en ayant ouvert ta session normale : ton nom "Administrateur" ( ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

 

Prends ton temps, et fais-le calmement. La procédure n'est pas compliquée.

 

1°) Suppression de CID

 

Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

 

Recherche CID ou CiDHelp qui doit-être présent. Clique sur Supprimer pour le désinstaller ( une fenêtre va s'ouvrir avec un code. Tape ce code et clique sur UNINSTALL ).

 

 

2°) Vérifie d'avoir accès à tous les dossiers/fichiers :

 

Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage :

• Coche le bouton devant : Afficher les fichiers et dossiers cachés
  
• Décoche la case : Masquer les extensions des fichiers dont le type est connu
  
• Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation
  
• Clique sur : Appliquer à tous les dossiers.
  

3°) Création du fichier remlopjob.bat

• Ouvre le Bloc-notes
  
• Vérifie dans le menu "Format" que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Fais un Copier/Coller des lignes ci-dessous situées dans la zone "CODE" ( sans le mot CODE ).
  
• Enregistre le fichier sous le nom de remlopjob.bat
  
• Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
  Si l'extension est .bat.txt, renommer le fichier en .bat.
  

%systemdrive% 
cd C:\WINDOWS\Tasks 
attrib -r -s -h AA7B7A209188EEFC.job 
del AA7B7A209188EEFC.job

 

4°) Création du fichier tuer-lop.reg

• Fais un Copier/Coller des lignes ci-dessous ( dans la zone "CODE" ) dans le Bloc-notes ( sans le mot CODE ).
  Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistrer le fichier sous le nom de tuer-lop.reg
  Attention : Important : Il faut une ligne blanche après la dernière ligne dans le Bloc note
  
• L'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
  Si l'extension est .reg.txt, renommer le fichier en .reg
  

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"One view global this"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"Axis1"=-

 

5°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

5.1 - Désinstallation ( éventuelle )

 

Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

 

Vérifie si MSN Plus ! est présent ( je ne l'ai pas vu dans ton rapport ). Si oui : Clique sur Supprimer, et Coche : Désinstaller

 

Note: Tu pourras le réinstaller après désinfection, s'il t'est indispensable, mais à condition de ne pas installer le/les sponsors.

 

 

5.2 - Exécute le fichier remlopjob.bat

 

Fais un double clic sur "remlopjob.bat" ( une petite fenêtre à fond noir va apparaître puis disparaître très rapidement ).

 

 

5.3 - Exécute le fichier tuer-lop.reg

 

Faire un clic droit sur "tuer-lop.reg", puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.

 

 

5.4 - Nettoyage avec HijackThis

 

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - C:\Program Files\Online Video Add-on\isfmdl.dll (file missing)

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"

O4 - HKLM\..\Run: [One view global this] C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe

O4 - HKCU\..\Run: [Axis1] C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

5.5 - Suppressions manuelles :

 

Dans Poste de travail > Disque local C :

 

Supprime les fichiers/dossiers suivants s'ils sont présents :

 

C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe <== ce fichier en rouge

C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW <== ce dossier en rouge

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe <== ce fichier en rouge

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1 <== ce dossier en rouge

 

 

5.6 - Vide le contenu de la corbeille :

 

 

5.7 - Masque les fichiers/dossiers cachés ou protégés

 

Décoche le bouton, et recoche les cases ( voir en 3° )

 

 

6°) Redémarre en mode normal

 

 

Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

Au travail

Modifié le 6 octobre 2007 par wong

[Belladonna]

Pardonne moi WONG met tu ne m'as pas developpé cette partie et je ne sait pas comment commencer :

 

1°) Désactive le TeaTimer de Spybot-S&D

 

 

Merci encore pour ta pécision et ta rapidité.

[wong]

Bonjour Belladonna,

 

Tu fais très bien de poser des questions. En effet, le Tea Timer de Spybot ne te concerne pas, donc n'en tiens pas compte.

 

Je vais rectifier ma procédure.

 

Tu peux continuer si tu n'as pas d'autre question.

 

Cordialement.

 

EDIT : Procédure rectifiée.

Modifié le 6 octobre 2007 par wong

[Belladonna]

Bonjour, Voila mister WONG (Merci beaucoup !):

 

 

 

Lors du pemier scan hijack il n'y avait pas ces ligne:

 

O4 - HKLM\..\Run: [One view global this] C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe

O4 - HKCU\..\Run: [Axis1] C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe

 

 

 

 

 

Je n'ai pas compris ou trouver les dernières données a supprimer manuellement car le dossier C:\DOCUME~1 n'existait pas ni BAGSMA~1 d'ailleur :

 

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe <== ce fichier en rouge

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1 <== ce dossier en rouge

 

J'ai été (au cas ou) dans C:\Documents and Settings\georges\Application Data\BagsMapiTitle\

 

Et je n'est trouver que ces fichiers: date64drive.exe & un fichier système "0" que je n'ai pas effacer.

 

 

 

Voici le dernier scan :

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:12:53, on 09/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\NETGEAR\WPN111 Configuration Utility\wpn111.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\georges\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://safe-strip-download.com/soft/in.cgi?3&group=sta

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - C:\Program Files\Online Video Add-on\isfmdl.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [One view global this] C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Axis1] C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe

O4 - HKCU\..\Run: [safeStrip] C:\Program Files\SafeStrip\SafeStrip.exe

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?6251f33bb590477681317e69556d1538

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?6251f33bb590477681317e69556d1538

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1165081178328

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

 

--

End of file - 9597 bytes

Modifié le 9 octobre 2007 par Belladonna

[wong]

Bonjour Belladonna,

 

Lors du pemier scan hijack il n'y avait pas ces ligne:

 

O4 - HKLM\..\Run: [One view global this] C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe

O4 - HKCU\..\Run: [Axis1] C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe

Sur tes 3 rapports HijackThis ces lignes y sont.

 

Je n'ai pas compris ou trouver les dernières données a supprimer manuellement car le dossier C:\DOCUME~1 n'existait pas ni BAGSMA~1 d'ailleur :

 

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe <== ce fichier en rouge

C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1 <== ce dossier en rouge

Pour trouver le chemin de BURN STORE LOGO.exe, fais Démarrer > Rechercher > Tous les fichiers et dossiers : tu le copie dans l'espace du haut ( une partie ou l'ensemble du nom de fichier ).

Assure-toi que les 3 premières cases de Options avancées ( situé en dessous ) soient cochées, et clique sur rechercher.

 

Précise-moi stp les points suivants :

1°) CiDHelp : trouvé et désinstallé ?

2°) remlopjob.bat : Exécuté ?

 

Procédure à faire dans l'ordre

 

1°) Télécharge Clean ( de Malekal ) : http://www.malekal.com/download/clean.zip

• Enregistre-le sur ton bureau.
  
• Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici.
  
• Cela va créer un dossier clean.
  

2°) Télécharge SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Enregistre-le sur ton bureau.

Faux positif : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

3°) Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

 

Enregistre-le sur ton bureau.

 

 

4°) Télécharge AVG Anti-Spyware de ewido/grisoft sur ton bureau : http://www.ewido.net/en/download/

• Lance le depuis l'icône presente sur ton bureau.
  
• Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
  
• Clique sur mise à jour, commence la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

Tuto Malekal : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

 

 

5°) Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

 

6°) Nettoyage avec Clean

• Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
  
• Double-clic sur clean. Cela va ouvrir une fenêtre noire.
  
• Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
  Clean va travailler.
  
• Un rapport va etre génèré, Copie/Colle le contenu du rapport dans ta prochaine réponse
  

7°) Nettoyage avec SmitFraudFix

• Double clique sur SmitfraudFix.exe
  
• Sélectionne 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  
• A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
  
• Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage.
  
• Le rapport se trouve à la racine du disque système C:\rapport.txt
  
• Copie/Colle le rapport dans ta prochaine réponse
  

8°) Nettoyage avec AVG Anti-Spyware

 

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

 

Double-clique ATF Cleaner.exe afin de lancer le programme.

• Main correspond à IE
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

 

Lance AVG Anti-Spyware

 

Clique sur scanner, puis sur scan complet du système.

 

Si des fichiers malveillants sont trouvés :

• Clique sur Appliquer toutes les actions
  
• Clique sur enregistrer le rapport d'analyse.
  
• Colle le rapport dans ton prochain message
  

Pour t'aider tu as deux tutos à ta disposition:

• ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
  
• AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
  

9°) Lance HijackThis

 

Clique sur Do a system scan only et coche les lignes ci-dessous :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://safe-strip-download.com/soft/in.cgi?3&group=sta

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - C:\Program Files\Online Video Add-on\isfmdl.dll (file missing)

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"

O4 - HKLM\..\Run: [One view global this] C:\Documents and Settings\All Users\Application Data\MPEG ELSE ONE VIEW\Active peak.exe

O4 - HKCU\..\Run: [Axis1] C:\DOCUME~1\georges\APPLIC~1\BAGSMA~1\BURN STORE LOGO.exe

O4 - HKCU\..\Run: [safeStrip] C:\Program Files\SafeStrip\SafeStrip.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

10°) Redémarre en mode normal

 

Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 4 rapports ( celui de Clean, de SmitFraudFix, de AVG AS et celui de HijackThis ).

 

Cordialement.

[Belladonna]

A l'aide Wong mon passé a sauté depuis l'autrefois et il bug moin depuis ce soir, je ne pouvais même plus me connecter, s'il vous plait aidez moi, ma vitesse internet a été divisé, mon pc s'allume une fois sur 10 !!!

[wong]

Bonjour Belladonna,

 

Comme ça fait 20 jours, on va reprendre.

 

Peux-tu Copier/Coller un rapport HijackThis dans ta prochaine réponse.

 

Je reviens à 15 h.

 

Cordialement.