angelique

Bonjour Cyrildu17 ce ne sont pas des restes mais bel et bien de la grosse infection, et VundoFix n'en viendra pas à bout, ne les reperera meme pas à mon avis ;o) --------------------------------- pippou • tu as installé Fsecure alors que tu as encore du symantec donc: telecharge et execute: ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe •Emule , Limewire , azureus...... je reprends des belles paroles de Thanos: • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: http://forum.zebulon.fr/gros-probleme-t145019.html# Suspect::[4] C:\WINDOWS\system32\tjuudtok.dll C:\WINDOWS\system32\urfmyefa.dll C:\WINDOWS\system32\folqulvd.dll C:\WINDOWS\system32\pescgqfq.dll C:\WINDOWS\system32\decjhaeh.dll C:\WINDOWS\system32\vkuvedac.dll C:\WINDOWS\system32\jkkJbawv.dll C:\WINDOWS\system32\xisoeqni.dll C:\WINDOWS\system32\trmxsfgb.dll C:\WINDOWS\system32\vtUlKCur.dll C:\WINDOWS\system32\bexeylvj.dll C:\WINDOWS\system32\irluydyk.dll C:\WINDOWS\system32\byXqQKdA.dll C:\WINDOWS\system32\efcYRJDU.dll C:\WINDOWS\system32\xvqowqfj.dll C:\WINDOWS\system32\uekmxdas.dll C:\WINDOWS\BM5796bdc3.xml C:\WINDOWS\system32\yayvTlJB.dll C:\WINDOWS\system32\jkkHXNhg.dll C:\WINDOWS\system32\iifETliH.dll C:\WINDOWS\system32\geBsQjGV.dll C:\WINDOWS\system32\qoMeFvTk.dll C:\WINDOWS\system32\ljJYOiIx.dll C:\WINDOWS\system32\rqRHxuvV.dll C:\WINDOWS\system32\fccdeDss.dll File:: C:\WINDOWS\system32\tjuudtok.dll C:\WINDOWS\system32\urfmyefa.dll C:\WINDOWS\system32\folqulvd.dll C:\WINDOWS\system32\pescgqfq.dll C:\WINDOWS\system32\decjhaeh.dll C:\WINDOWS\system32\vkuvedac.dll C:\WINDOWS\system32\jkkJbawv.dll C:\WINDOWS\system32\xisoeqni.dll C:\WINDOWS\system32\trmxsfgb.dll C:\WINDOWS\system32\vtUlKCur.dll C:\WINDOWS\system32\bexeylvj.dll C:\WINDOWS\system32\irluydyk.dll C:\WINDOWS\system32\byXqQKdA.dll C:\WINDOWS\system32\efcYRJDU.dll C:\WINDOWS\system32\xvqowqfj.dll C:\WINDOWS\system32\uekmxdas.dll C:\WINDOWS\BM5796bdc3.xml C:\WINDOWS\system32\yayvTlJB.dll C:\WINDOWS\system32\jkkHXNhg.dll C:\WINDOWS\system32\iifETliH.dll C:\WINDOWS\system32\geBsQjGV.dll C:\WINDOWS\system32\qoMeFvTk.dll C:\WINDOWS\system32\ljJYOiIx.dll C:\WINDOWS\system32\rqRHxuvV.dll C:\WINDOWS\system32\fccdeDss.dll Folder:: C:\SDFix Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69832f8a-7c20-4cf7-b0e1-d8a01a72a40b}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AAE49F55-22BB-4F21-A40E-C827092374DA}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BD962BAB-F429-460F-805B-B137087AB623}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "54a58e5f"=- "BM5796bdc3"=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{BD962BAB-F429-460F-805B-B137087AB623}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdeDss] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7df70ff0-6ac4-11dc-8aad-00038a000015}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt En fin d'analyse - Un fichier zippé sera créé sur le bureau de l'utilisateur > [4]-Submit_Date_Time.zip - Un autre fichier est ajouté à présent sur le bureau > CF-Submit.htm Assure toi que tu es connecté pour uploader [4]-Submit_Date_Time.zip clique sur [OK], le navigateur va charger CF-Submit.htm comme ceci copier/coller le chemin du fichier dans la boite de dialogue ou browse jusqu'à ton bureau ou est le .zip et à cliquer sur [OK]-send file et rien d'autre!

va dans "mes controles"\parametres forum http://imagik.fr/view-rl/50720 j'édite ton sujet comme [resolu]

• desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: Combofix /u supprime si existant c:\qoobox , c:\bug , c:\combofix • * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 Poste le rapport sauvegardé en fin de scan

si y'a une infection LOP • relancer Hijackthis " do a system scan scan only", cocher les lignes ci dessous et cliquer Fixchecked: O2 - BHO: (no name) - {5D71BFF9-1BC8-B4D3-028D-4EA1E64646F3} - C:\DOCUME~1\HP_PRO~1\APPLIC~1\aimante\insidehole.exe (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKCU\..\Run: [DrawPlay] C:\DOCUME~1\HP_PRO~1\APPLIC~1\CLOCKI~1\transfour.exe • suivre le tuto de LOP S&D et poster le rapport suite à l'option 2 http://eric.71.mespages.googlepages.com/lop.sd.exe http://www.assistepc.com/forum/lop-s-d-net...-lop-vt686.html ========= je te laisse continuer minou88 =========

c'est ok. Pense à utiliser l'onglet "editer" sous ton 1er message et rajoute [resolu] dans le titre. @+

[La première : Pourquoi Norton a mis des fichiers en quarantaine sans m'en informer ?] Il doit etre configuré de cette maniere , en 1ere action "réparer", en 2eme action "mettre en quarantaine" [La deuxième : Pourquoi me faire désactiver la restauration du système ?] desactiver puis reactiver à cause de ça: C:\System Volume Information\_restore{A51C5CDE-3710-45ED-AEAF-4DBEE7E77752}\RP423\A0122001.sys Infected: Trojan.Win32.Agent.mwo skipped c'est un point de restauration infecté, donc desactivation+reactivation aura pour consequence de la vider. [PS : Est-ce judicieux de garder norton comme antivirus et pare-feu ?] Tu as du payer une licence jusqu'à une certaine durée, donc garde le jusqu'à expiration. Tu dois etre derriere une livebox??? à expiration de Symantec , un simple et bon antivirus comme antivir sera suffisant vu que la livebox fait office de parefeu.

ce que j'adore c'est que j'ai pas de commentaire de ta part sur le fonctionnement de ton pc depuis ton 1er message! • desinstalle ComboFix en copiant_collant la ligne ci dessous ds executer et valide: ComboFix /u supprimme si existant c:\qoobox, c:\bug ,c:\combofix • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • reposte un nouveau rapport HJT et colle un nouveau rapport antivir que tu possedes

On va faire le menage , mais par contre tu as installer antivir et gardé avast , donc vire Avast!!!!! via ajout\supp de programmes et supprimme ensuite le repertoire restant; c:\program files \Alwil Software • • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\xxyyaWnL.dll Folder:: C:\VundoFix Backups Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{663656DF-6BAE-460C-A612-8133DF519346}] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{663656DF-6BAE-460C-A612-8133DF519346}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyyaWnL] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9207b75a-1bf6-11dc-8ec5-000feaa14ec2}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme.

voila le rapport de ton infection via kaspersky, enfin le restant maitrisé par symantec ton antivirus\firewall • vide ta quarantaine de symantec , purge symantec de ses detections \ désinfections , tu peux le remercier malgré gros balour qu'il soit ;o) • desactive \restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • NPROTECT = Corbeille Norton fichiers supprimés par des programmes ou par un shift+delete. donc vide le et ce sera ok • desinstalle Kaspersky Online via ajout supp de programmes

pas de probleme avec FF 2.0.0.14 http://imagik.fr/view-rl/50548

'jour • desactive temporairement avast et le module "self-defense" • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Ferme tous tes programmes en cours * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, Ne touche à rien pendant l'analyse!!!, un rapport apparaîtra que tu me posteras.

le rapport est propre. supprime le dossier backups, sauvegarde de HJT: C:\Documents and Settings\bastien\Bureau\backups

j'ai le soucis parfois , je passe un coup d'atfcleaner et hop!! je peux le retirer en toute securité. telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme.

alors on fait ça: • desinstalle ComboFix , en copiant_collant la ligne ci dessous dans executer et valide: ComboFix /u supprime si existant c:\qoobox, c:\bug , c:\combofix et sur ton bureau [4]-Submit_Date_Time.zip et CF-Submit.htm si existant ainsi que mbr.exe et son rapport • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. tu utiliseras ce programmes regulierement pour nettoyer . • on va faire un scan en ligne pour supprimer les residus * Fais un scan en ligne Kaspersky avec Internet Explorer http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 tu postes le rapport , precedemment enregistré en fin de scan

upload le là alors et supprime le ensuite: http://upload.malekal.com/ et là :: http://www.bleepingcomputer.com/submit-malware.php?channel=4 Link to topic where this file was requested: tu mets cette adresse: http://forum.zebulon.fr/infection-t144963.html • telecharge sur ton bureau http://www2.gmer.net/mbr/mbr.exe , lance le , un fichier log est crée sur ton bureau , copie_colle le contenu ici • tu as toujours ce probleme??

on va faire ça: • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: http://forum.zebulon.fr/infection-t144963.html Collect::[4] C:\WINDOWS\System32\drivers\Otx61.sys Driver:: Otx61 File:: C:\WINDOWS\System32\drivers\Otx61.sys C:\move_before.xml C:\move_after.xml Folder:: C:\Documents and Settings\Emmanuel\Application Data\Antivirus C:\Program Files\Securitoo Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Otx61.sys] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Note: tu auras une fenetre internet qui va s'ouvrir qui te demandera d'uploader une archive zippé crée sur ton bureau, fait le.

c'est fait ;o) onglet "editer" sous ton 1er message et j'ai mis [resolu] dans le titre de ton post. @+

effectivement une petite merde à trainer!! • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\bfbljbfc.ini C:\WINDOWS\system32\cfbjlbfb.dll C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\WS2Fix.exe Folder:: C:\VundoFix Backups Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "4353f526"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4822d6f1-3f41-11da-aa43-806d6172696f}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant: CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

c'est ok tu peux supprimer C:\Documents and Settings\sirtoli damien\Bureau\VundoFix.exe Emule , bitTorrent , fait attention!!! je reprends des belles paroles de Thanos: @+

'jour • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\SYSTEM32\WinNt32.dll [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• desinstalle Combofix en copiant_collant dans executer la ligne ci dessous et valide: ComboFix /u supprime si encore present c:\qoobox, c:\bug , c:\combofix • fait un scan antivir et poste le rapport avec un nouveau rapport HijackThis

pas de soucis , avec plusieurs couches , y'a des chances que ça percute mieux

• tu peux desinstaller LOP S&D • supprime le dossier en gras: C:\Documents and Settings\All Users\Application Data\comp two long internet pour y avoir acces: Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Appliquer •telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • je te conseille de desinstaller Limewire , c'est un client P2P qui offre le + de veroles je reprends des belles paroles de Thanos: • reposte un dernier rapport HijackThis pour verification, ça doit etre ok

Pour la conversion .CDA [<< c'est le format d'un CD audio] >> Mp3\Wave , utilise cdex 1.51: http://www.zebulon.fr/dossiers/32-cdex.html ftp://zebulon.fr/cdex_151.exe

ouaip c'est ok, si dans ton dernier scan antivir tu as deleted ou quarantaine[et vidé quarantaine].