angelique

OllyDbg

RHosts

ExamDiff http://imagik.fr/view-rl/53082 http://www.prestosoft.com/ps.asp?page=edp_examdiffpro

ok ;o), on va d'abord essayer comme ça » supprime SmitFraudFix et dsinstalle via ajout\suppression de programmes navilog1 »Ferme ton navigateur internet , relance HijackThis "do a system scan only", coche les lignes ci dessous et clic fixchecked: O3 - Toolbar: atfxqogp - {736569A1-1F42-4ECD-A4E5-2B05341D41FF} - C:\WINDOWS\atfxqogp.dll O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {7B93CAE6-29D1-4E4C-82EF-8648E29FB31F} (CamfrogWEB Advanced Unicode Control) - http://www.visiocool.com/download/cfweb_ww..._instmodule.exe O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.f..._instmodule.exe O21 - SSODL: vltdfabw - {66104658-763E-4C7D-9A63-BE155AB4D5C6} - C:\WINDOWS\vltdfabw.dll O21 - SSODL: vregfwlx - {421E51F0-E06B-475A-BE6D-431928D71843} - C:\WINDOWS\vregfwlx.dll » Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Program Files\Antivirus 2008 PRO C:\WINDOWS\atfxqogp.dll C:\WINDOWS\vltdfabw.dll C:\WINDOWS\vregfwlx.dll EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum avec un nouveau rapport HijackThis

Ouia hein!! JMaN , mais je t'aime toujours ;o) ------------------------- nircmd [ http://www.nirsoft.net/utils/nircmd2.html#using ]

/me aime bien ce jeu [tu vois Dr.Antivirus j'ai rien contre toi ^^] ---------------------------------------------------------------- GDRP [ http://volvox.wordpress.com/2006/10/25/log...donnees-backup/ ]

Bouh! JMaN ------------------------------------- IceSword

Bof!! tu peux bloquer le spooler via l'exterieur avec ton parfeu , mais pas killer le process! Nom du produit Microsoft® Windows® Operating System Nom du fichier C:\WINDOWS\system32\spoolsv.exe à part ça non , je ne les tuerais pas ^^

hello Phengizy Rien je dirais , mais pas tres connaisseuse de Process explorer , t'as skype qui tourne à part ça , tout est bon et légitime\essentiel.

ça , j'en suis ravie L'urgence dans ton cas d'etre rapide et de maitriser l'infection qui se lançait au boot de ton PC » Pas de soucis , Antivir etant un bon produit , il mettra en évidence le reste de tes infections que tu quarantaines. Aller doucement , n'empeche pas d'arriver tu posteras le rapports d'antivir quand tu auras le temp, je te lirais \o_

VirtualDub_Portable_1.7.8.paf

screamer

Xtremsplit

XviD-1.1.2-01112006

Vu que l'infection est maitrisé , l'envoie de spam aussi. Effectivement antivir n'a pas cette fonction, mais il aurait pas laissé passer l'infection contrairement à avast [c'est l'antivirus qui prévient quand il est trop tard ] j'édite ton sujet comme [resolu]

HJT , SmitFraudFix option1 navilog1 option1 en mode normal , normal=normal , le contraire de mode sans echec

» telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. » vide la quarantaine d'antivir , sinon ça parait ok. as tu le meme soucis que celui d'origine??

» C:\_OTMoveIt à supprimer » HijackThis est mal placé: creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe la lancer, Choisis l'option "Do a system scan only", coche les lignes ci dessous et clic fixchecked: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.eorezo.com/cgi-bin/advert/getad...t&x_dp_id=9 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - (no file) O22 - SharedTaskScheduler: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - (no file) ==> clic Fixchecked » supprime ensuite la sauvegarde de HijackThis , le dossier en gras: c:\HJT\backups » met ta console javasun à jour via panneau de configuration , double clic sur la tasse à café representant java et met à jour. Tu desinstalleras ensuite via ajout\suppression de programmes , les versions anterieures à celle mise à jour. Et ça sera OK @+

• relance HijackThis " do a system scan only" , coche les lignes ci dessous et clic fixchecked: O4 - HKCU\..\Run: [eqbuf] c:\documents and settings\propriétaire\local settings\application data\eqbuf.exe eqbuf O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe ==> clic fixchecked • desactive temporairement antivir sinon il va couiner !!! clic droit dans le systray sur le parapluie et decoche <antivir guard enable> • Télécharge SmitfraudFix de S!Ri sur ton bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix , un dossier de meme nom est crée sur ton bureau Dans le menu, sélectionne 1 , un rapport sera généré. Pour quitter SmitFraudFix en fin d'analyse , veille bien à utiliser la touche "Q" comme c'est demandé • http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Télécharge Navilog1.exe (Il Mafioso) Installe le,un raccourci est crée sur le bureau il va se lancer tout seul, choisis l'option 1 » relance SmitfraudFix.cmd dans le dossier crée sur ton bureau Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. » Double clique sur Navilog1,le raccourci sur ton bureau Choisis maintenant l'option 2 puis valide. Laisse toi guider et réponds aux questions éventuelles. Ton bureau va disparaître, c'est normal ! Patiente jusqu'à l'apparition de ce message : "*** Nettoyage Termine le ..... ***" Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Sauvegarde le rapport de manière à le retrouver en mode normal. (sur ton bureau par exemple) Referme le Bloc-notes. Ton bureau va maintenant réapparaître. # NOTES : Le rapport se trouve également ici : C\cleannavi.txt -- Poste alors , en mode normal ,les rapports option2 de SmitfraudFix+navilog1+un nouveau rapport HijackThis

c'est que ton probleme n'est pas d'origine infectieuse à la vue de ces 2 rapports, voila pourquoi personne ne te repond • desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u supprime si restant c:\qoobox, c:\bug , c:\combofix

rustbfix

qu'il reste là bas! http://forum.pcastuces.com/adware_menace-f25s40327.htm

Nop! mais moi je ne te parle pas, ça m'interesse pas. Arrete de polluer une discussion qui n'est pas la tienne, sinon je te vire du forum, va t'occuper du tiens!!! T'as perdu d'avance avec moi...................Dead_Time. Tu veux ne plus "participer" à ce forum , repond just et "au revoir"

Nop , tu pourras pas !! je cause pas à des gens comme toi ------------------------------------------------------------------ Reukin •supprime C:\SDfix • relance HijackThis " o a system scan only" , coche uniquement les lignes ci dessous et clic fixchecked: R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: {657a981d-9f7e-740a-84c4-c1c223c91a5e} - {e5a19c32-2c1c-4c48-a047-e7f9d189a756} - (no file) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) • fait un scan avec ton antivir et quarantaine le reste de tes infections , poste le rapport.

dans ce cas , n' intervient pas !! ça sert à rien. merci de ne pas polluer le sujet.