Bonjour, J'ai détecté myway.myweb search avec spybot, je n'ai pas réussi à le trucider. J'ai suivi les conseils de jlpjlp (qui aidait freehomme sur ce forum)et téléchargé "ad remover", je l'ai exécuté et scanné, rien de particulier ne s'est passé. Jlpjlp préconise de poster le rapport, là, j'ai compris qu'il faut l'envoyer sur ce forum . C'est donc ce que je fais en espèrant que quelqu'un de bienveillant aura la gentillesse de m'aider. Pour info je suis sur XP, je suis protégé par Avast, Spybot et Ccleaner, aucun n'est venu à bout de ce satané virus. Par avance, merci. -------- Logfile of AD-Remover 1.0.7.8 by C_XX --------- # START at: 18:36:43 | Dim 21/12/2008 | Microsoft® Windows XP™ SP3 (v5.1.2600) # BOOT MODE: Normal # OPTION: Scan | EXECUTED FROM: C:\Documents and Settings\Patrick\Bureau\AD-Remover.bat # PC: ORDI | USER: Patrick ( Current user is an administrator) # DRIVE(S): - C:\ (File System: NTFS) - F:\ (File System: NTFS) - G:\ (File System: NTFS) - H:\ (File System: NTFS) # Internet Explorer v7.0.5730.11 --------- [ RUNNING PROCESSES: 43 ] --------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\vVX1000.exe C:\Program Files\TomTom HOME 2\HOMERunner.exe H:\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Ares\Ares.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\spoolsv.exe H:\Picture Package Menu\SonyTray.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Program Files\VeriSign\NAVI\naviagent.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE C:\WINDOWS\system32\fxssvc.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe C:\Program Files\Star Downloader\stardown.exe C:\WINDOWS\system32\ntvdm.exe ----------------------------------- +-----------------------| Boonty/Boonty Games Elements found : . +-----------------------| Eorezo Elements found : . +-----------------------| Everest Poker Elements found : . +-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found : "HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}" "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Search" "HKEY_USERS\S-1-5-21-1202660629-1343024091-854245398-1004\Software\Microsoft\Internet Explorer\MenuExt\&Search" . +-----------------------| It's TV Elements found : . +-----------------------| Sweetim Elements found : . +-----------------------| ADDED SCAN : +---------- Scanning prefs.js ... ( # Mozilla User Preferences ) ...\ey56612s.default\prefs.js : ~~~~ Mozilla FireFox version 2.0.0.18 ~~~~ Start Page : "https://www.google.fr/?gws_rd=ssl" +----------+ +---------------------------------------------------------------------------+ +--[HKEY_CURRENT_USER\..\Run] CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe ares REG_SZ "C:\Program Files\Ares\Ares.exe" -h +--[HKEY_LOCAL_MACHINE\..\Run] QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz REG_SZ nwiz.exe /install NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe VX1000 REG_SZ C:\WINDOWS\vVX1000.exe LifeCam REG_SZ "C:\Program Files\Microsoft LifeCam\LifeExp.exe" TomTomHOME.exe REG_SZ "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s Picasa Media Detector REG_SZ H:\Picasa2\PicasaMediaDetector.exe Kernel and Hardware Abstraction Layer REG_SZ KHALMNPR.EXE +--[HKEY_USERS\.DEFAULT\..\Run] CTFMON.EXE REG_SZ C:\WINDOWS\System32\CTFMON.EXE Picasa Media Detector REG_SZ H:\Picasa2\PicasaMediaDetector.exe +--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN] Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157 +--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN] Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157 +---------------------------------------------------------------------------+ - "C:\AD-report-Scan-20.12.2008.log" (~5232 bytes) - "C:\AD-report-Scan-21.12.2008.log" (~4941 bytes) # END at: 18:37:23 | 21/12/2008 - Time elapsed: 39.5 seconds +---------------------------------------------------------------------------+ +------------------------------- [ E.O.F - 103 lines ] +---------------------------------------------------------------------------+

Salut, Fais ceci dans l'ordre : 1- Important : Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm ( sur la 1er image , clique sur "tea timer" pour lancer l'animation ). En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ... Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) . /!\ Mais attention : à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) -> il faudra alors les accepter toutes sans exeptions ! Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance . ================= 2-Télécharge et installe le logiciel HijackThis : ici HijackThis ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html > Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . tuto pour utilisation : Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement ) > !! Déconnecte toi et ferme toutes tes applications en cours !! Clique sur le raccourci du bureau pour lancer le prg : fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" ---> Poste le rapport généré pour analyse ...

oki ... plusieurs bestioles ! .... Il faut absolument désactiver le "TeaTimer" de Spybot comme je te l'ai demandé !!! une fois fais poste un nouvel hijackt pour contrôler ceci ... merci ... ensuite on pourra attaquer le nettoyage ...

Cette fois c'est Ok .... ^^ fais ceci pour commencer : Nettoyage AD-Remover : ! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) ! * Relance "Ad-remover" : au menu principal choisis l'option "B" . * A l'écran de sélection : > choisis le(s) chiffre(s) suivant pour nettoyer : 4 - "Funwebproduct/MyWay/MyWebsearch" puis [entrée] Une fois la sélection faite, tape S puis [entrée] pour lancer la suppression . --> le programme va travailler , ne touche à rien ... * Poste le rapport qui apparait à la fin + un nouvel Hijackthis pour analyse ... ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

Bien .... la suite : 1- Télécharge CCleaner : http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner ou https://www.pcastuces.com/logitheque/ccleaner.htm Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . Lors de l'installation: -choisis bien "francais" en langue . -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. Un tuto ( aide ): http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm ---> Utilisation: ! déconnecte toi et ferme toutes applications en cours ! * va dans "nettoyeur" : fais -analyse- puis -nettoyage- * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) =================== 2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 ( Tuto : https://sites.google.com/site/toolbarsd/aideenimages ) !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! * Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ... --> Tapes directement sur 2 ( option " nettoyage " ) puis tape sur [Entrée]. Le nettoyage commence . ! ne touche à rien lors de la suppression ! Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse accompagné d'un nouveau rapport hijackthis pour analyse ... ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

bien ... on avance ... ^^ mais il y en reste encore ! .... Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Installe le soft sur ton bureau ( et pas ailleurs! ) . !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !! Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm Utilisation ---> option 1 / Recherche : Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection. Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ... (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

rien pour Smithfraud ... bizard ... Fais ceci : Télécharge MalwareByte's : ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware ou ici : http://www.malwarebytes.org/mbam.php * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour . (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ) * Potasse le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 ( cela dis, il est très simple d'utilisation ). ! Déconnecte toi et ferme toutes applications en cours ! * Lance Malwarebyte's . Fais un examen dit "Rapide" . --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). --> à la fin tu cliques sur "résultat" . --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date), accompagné d'un nouveau rapport hijackthis pour analyse ...

Oki ... A demain pour la suite ! ;) Bonne nuit .... ^^

Salut, on continue ... 1- supprime tout ce qui se trouve dans la quarantaine de Malwarebytes . 2- Refais un coup de CCleaner (registre compris ). 3- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. -> http://images.malwareremoval.com/random/RSIT.exe ! Ferme bien toutes tes applications en cours ! Double-clique sur " RSIT.exe " pour le lancer . -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . * Devant l'option "List files/folders created ..." , tu choisis : 2 months * clique ensuite sur " Continue " pour lancer l'analyse ... ( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.) -> laisse faire le scan et ne touche pas au PC ... Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Autre chose , ( merci à raphy00 ;) ) il y a eu une petite erreur ... donc voilà ce que tu vas faire dans l'ordre : 1- Nettoyage avec ToolBar S&D : !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! Relance l'outil en double-cliquant sur ToolBar SD.exe qui est sur ton bureau . --> Tapes sur 2 ( option " nettoyage " ) puis tape sur [Entrée]. Le nettoyage commence . ! ne touche à rien lors de la suppression ! Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse pour analyse ... =================== 2- Refais un coup de CCleaner ( registre compris ) =================== 3- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. -> http://images.malwareremoval.com/random/RSIT.exe ! Ferme bien toutes tes applications en cours ! Double-clique sur " RSIT.exe " pour le lancer . -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . * Devant l'option "List files/folders created ..." , tu choisis : 2 months * clique ensuite sur " Continue " pour lancer l'analyse ... ( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.) -> laisse faire le scan et ne touche pas au PC ... Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ... Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit ) ++

j'en déduit donc que nous avons réussi à exploser les abominables tronches de ces petits salopards de virus. -> ce n'est absolument pas une référence !!! Ce n'est pas terminé !!! poste moi les rapports demandés et attends la suite .... ^^"

Myway.myweb search

Réponse 21 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

Bien ... on a des mp3 infectés ! ...

on nettoye :

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Services

:Reg

:Files
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Altnet3.zip
C:\Incomplete\Preview-T-3545425-allez luya.mp3
C:\LimeWire\allez luya.mp3
C:\LimeWire\hannah montana.mpg
C:\LimeWire\lenningrad cow boys.mp3

:Commands
[emptytemp]
[Reboot]

et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

Réponse 22 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bien ....

merci de continuer la discution à la suite ! ( il y a 2 pages maintenant ;) )

Si tu n'as plus de soucis particulier , on peut finaliser :

1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
-> désinstalle les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".

* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Important : si tu as une imprimante ,désactive la et la débranche du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

2- Refais un scan hijackthis , poste le nouveau rapport obtenu et attends la suite ....

Réponse 23 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

dois-je désinstaller adobe flash player
-> non ... ^^

et merci de répondre à la suite !!!

A demain pour la suite ....

Réponse 24 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

bien ...

dans l'ordre :

1- Télécharge cet outil de SiRi sur ton bureau :

http://siri.urz.free.fr/Softs/RHosts.exe
ou http://siri.urz.free.fr/RHosts.php

Double-cliquer dessus pour le lancer .

-> cliquer sur " Restore original Hosts " et attendre un court instant ...

( ps : c'est normal que rien ne se passe ... )

2- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

Tu cliques en bas sur le bouton FIX CHECKED et valides .

3- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Poste aussi un dernier rapport Hijackthis de contrôle ...

Réponse 25 / 31

Roméo

J'ai fix chequed et redèmarré, seulement, je ne retrouve pas le hijackthis log. Le pc semble fonctionner.

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

et bien refais un nouveau scan hijackthis et poste le nouveau rapport obtenu ... ;)

Une fois celui-ci contrôler , je te donne la fin ... ^^

Réponse 26 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Vu ce qui cloche ! .... ^^

fais ceci :

Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Réponse 27 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

Je te signale qu'il y 2 pages sur le topic !!! ^^"

Merci de répondre à la suite ...

===============

si tu ne l'as plus sur ton PC :

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Files
c:\windows\system32\restart.exe

:Commands
[emptytemp]
[Reboot]

et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

==================

poste moi ce rapport et dis moi si tu as encore des soucis avec le PC maintenant ... ^^

Roméo

Voici le rapport. J'ai toujours un pb avec internet explorer qui ne répond qu'une fois sur deux.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\restart.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_43c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_628.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01122009_204131

Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_43c.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_628.dat not found!

Réponse 28 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bon ...

fais une réinstalle d' IE 7 pour voir :
http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer

Dis moi ce que cela donne ensuite ...

Roméo

J'ai téléchargé sur le bureau, j'ai créé un raccourci, puis cliqué dessus, il s'est ouvert rapidement, donc ça marche du feu de Dieu.

Réponse 29 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Très bien ...

suite et fin dans l'ordre :

1- Déconnecte toi et ferme bien toutes tes applications en cours .

Lance Toolscleaner2 .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

Puis enfin supprime Toolscleaner2 ...

2- Refais un coup de CCleaner ( registre compris ) .

3- Fais ce check-up pour finir :

( étape A à faire de suite ! et le reste dès que tu peux mais ne tarde pas trop ;) )

A-Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

Attention : ne pas toucher au PC pendant qu'il travaille !

B-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...

*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...

C-Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.

---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Romèo

Bonjour,

Encore quelques petits soucis avec internet explorer qui ne répond pas de temps en temps à l'ouverture.
Voici le dernier rapport.

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\*.msnfix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Patrick\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Patrick\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Patrick\Bureau\DossierPatrick\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Patrick\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Patrick\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Patrick\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Patrick\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Patrick\Bureau\DossierPatrick\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Réponse 30 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bien ... dis moi une fois que tout est finit ... =)

Romèo

Tout est fini, seulement, hier, je n'ai pas pensé à poster le rapport, sinon tout a été fait jusqu'au point de restauration.

Réponse 31 / 31

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Impec....

Pour IE , fais une réinstalle pour voir :
http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer

Content d'avoir pu te rendre service ... ^^

Potasse ceci néanmoins :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

Pour une meilleur sécurité lorsque tu surfes :

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

* tu peux installer cet add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo

Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> http://www.commentcamarche.net/faq/sujet 15620 wot web of trust essentiel pour l internaute avise

=================================================================
=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P :
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=================================================================
( merci le sioux )

Voilou ....

Bonne continuation à toi et bon surf ... =)

A+

Romèo

Merci beaucoup pour le dépannage et les conseils, tu as passé bénévolement beaucoup de temps à mon service, pour t'exprimer ma reconnaissance j'aimerais que tu me laisses ton adresse.

Encore merci et meilleurs voeux.

sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Romèo

De rein ...

un simple merci suffit ! ... ^^

Tchouss !...

Myway.myweb search - Page 2

Discussions similaires

Newsletters