angelique

• supprime mbr.exe et son rapport • tu as installé un programme depuis la desinfection, pour encore avoir de la pub??? Incredimail est reputé pour en envoyer! • je lirais ton rapport kaspersky ce soir.

http://forum.zebulon.fr/trojanwin32monderg...74#entry1219674

au boot du pc c'est marqué "press.... to enter setup" , donc c'est cette touche... qu'il faut tapoter au boot du pc.

et via la gestion des disques [executer_____ diskmgmt.msc ] , tu la vois la barre de ta clé, clic droit dessus formater??

Pourtant ça a l'air propre • on va verifier 2 trucs encore: 1/ Télécharge sur ton bureau : http://www2.gmer.net/mbr/mbr.exe double-clic dessus et poste le rapport log qui est créé sur ton bureau. 2/ * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 Poste le rapport enregistré

commence par telecharger: lopxpMH2 de Lazzzy sur ton bureau. http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. Dans ta prochaine réponse, poste : - le contenu du rapport qui va s'ouvrir

la suite c'est la recherche de fichiers suspect sur ta clé usb ^^ • relance HijackThis " do a system scan only" et coche uniquement, et clic fixchecked cette ligne ci dessous:: O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) • desactive puis reactive ta restauration systeme de cette maniere: http://service1.symantec.com/support/inter...020830101856924 • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Sinon ton dernier rapport est propre, as tu des soucis comme au debut de ton sujet??

tres bien , tu peux desinstaller ComboFix en copiant_collant la ligne du cadre ci dessous dans executer , et valide: ComboFix /u fais la suite, et reposte moi un nouveau rapport HJT l'autorun.inf , celui ci a été crée par flash_desinfector , laisse le, regarde si y'a pas d'autres fichiers suspects sur ta clé comme j'ai cité plus haut, si oui ,supprime les, si tu as un doute donne moi le nom

tu suis exactement ce qui est marqué , executer___notepad t'ouvre ton bloc note et tu copies\colles le contenu du cadre , tu enregistres sous le nom CFScript sur ton bureau et tu le fais glisser sur l'icone de combofix sur ton bureau. Tu desactives temporairement antivir pour se faire. • toujours antivir desactivé, telecharge sur ton bureau:: http://www.techsupportforum.com/sectools/s...Disinfector.exe tu inseres ta clé usb, mais tu ne l'ouvres pas et tu executes Flash_Disinfector.exe et tu fais la suite indiqué plus heut au niveau de ta clé.

bah y'a pas grand chose!! • desinstalle navilog1 via ajout\supp de programmes que tu as du utiliser • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Folder:: C:\Program Files\Navilog1 C:\Program Files\EoRezo C:\Documents and Settings\lagarde\Application Data\EoRezo Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- "EoWeather"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5d12cd06-fe3a-11dc-9cf9-00c09f737e07}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • Il te faut maintenant nettoyer ta clefs USB, pour cela insere là: SURTOUT ne pas double-cliquer sur le disque dans le poste de travail Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Ouvrez le poste de travail Pour chaque disque dans le poste de travail : Fais un clic droit sur ta clé - surtout ne double-clic pas dessus!!! Choisis ouvrir dans le menu déroulant. Cherche un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs ou UFO.exe ......auto.exe.... Si présents, supprimez le en faisant un clic droit puis supprimer. Répétez l'opération sur tous les disques se trouvant dans le poste de travail. • tu as le dernier rapport antivir à poster stp!!

il faut creer ton propre sujet !!!! à lire:: http://forum.zebulon.fr/procedure-de-deman...tt-t138211.html

quand on installe messenger truc il ne faut pas cocher "installer les sponsors!!! http://www.malekal.com/fichiers/msnplus/install_msnplus2.png • telecharge sur ton bureau : http://siri.urz.free.fr/RHosts.php • relance HijackThis " do a system scan only" , coche la ligne ci dessous uniquement et clic fixchecked:: O4 - HKCU\..\Run: [Help surf] C:\DOCUME~1\Dany\APPLIC~1\UPLOAD~1\flagmfcd.exe • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\Tasks\A99DC4D4918A7774.job C:\Documents and Settings\Dany\Application Data\Upload 16 C:\DOCUME~1\Dany\APPLIC~1\UPLOAD~1 C:\Documents and Settings\All Users\Application Data\Loud spam else tool EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • un peu de lecture sur incredimail Truc , apres ça reste ton choix de le garder ou de le desinstaller: http://assiste.com.free.fr/p/logitheque/incredimail.html • lance spybot que tu as d'installé , mode avançé\outils\onglet ajustement ie \decoche verouiller le fichier hosts......... *lance RHosts que tu as precedemment telechargé,clic "restaurer" , et recoche dans spybot "verouiller le fichier hosts....." • reposte un nouveau rapport HijackThis

Tu fais comme tu veux pour ton incredimail. faut desactiver temporairement ton antivirus pour effectuer la manip avec ComboFix , donc tu le retelecharges et tu recommences la manip ,AV désactivé[decoche antivir guard enable dans le systray]

Mais bien sur................. • vire increditruc de merde :: http://assiste.com.free.fr/p/logitheque/in...ler_incredimail http://assiste.com.free.fr/p/logitheque/incredimail.html • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Folder:: C:\Program Files\EoRezo [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

que du bonheur ; j'edite ton sujet comme [resolu] @+

au lieu de blabater qui traite le LOP ?? O4 - HKCU\..\Run: [Help surf] C:\DOCUME~1\Dany\APPLIC~1\UPLOAD~1\flagmfcd.exe tssssss!! franchement posté à 16h08 , les intervenants reperent bien IncrediTruc de merde et la 04 mais personne ne donne la marche à suivre!!!!!! Elle est ou la camera cachée? ------------------------------------- pompon68 • telecharge : lopxpMH2 de Lazzzy sur ton bureau. http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. Dans ta prochaine réponse, poste : - le contenu du rapport qui va s'ouvrir

ok! bien bossé • C:\Documents and Settings\Jean Pierre\Mes documents\Downloads\Programs\backups << supprime le gras • supp smitfraudfix • là je cerne pas ! quel icone?? • vire avast pour antivir telechargement antivir: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe desinstallation avast: http://forum.malekal.com/viewtopic.php?f=45&t=4192 tuto antivir:: http://www.libellules.ch/tuto_antivir.php fait un scan antivir et poste le rapport

http://forum.zebulon.fr/brancher-imprimant...pc-t144158.html

bien joué Senku comme quoi , y'a des membres qui cherchent pas avant de demander

je dirais ça par default, attend d'autres confirmation: R‚pertoire de C:\Program Files 13/09/2006 21:59 <REP> ComPlus Applications 15/12/2006 12:57 <REP> Fichiers communs 18/03/2007 19:36 <REP> InstallShield Installation Information 13/09/2006 22:30 <REP> Internet Explorer 13/09/2006 22:30 <REP> messenger 13/09/2006 22:30 <REP> Movie Maker 13/09/2006 21:58 <REP> MSN 13/09/2006 21:58 <REP> MSN Gaming Zone 12/02/2007 18:00 <REP> MSXML 4.0 12/03/2007 17:45 <REP> NetMeeting 13/09/2006 22:30 <REP> Outlook Express 13/09/2006 21:58 <REP> Services en ligne 13/09/2006 22:05 <REP> Uninstall Information 21/10/2006 20:30 <REP> Windows Media Player 13/09/2006 21:58 <REP> Windows NT 09/06/2007 06:33 <REP> WindowsUpdate 13/09/2006 22:02 <REP> xerox

http://www.hotline-pc.org/restauration.htm#0201

bah ouai t'as du te planter dans les commandes • tu peux restaurer ?? executer ----- %systemroot%\system32\restore\rstrui.exe

Lire la fin: http://www.pcinpact.com/actu/news/43488-windows-xp-sp3.htm

• desinstalle avast via ajout\supp de programmes et supprime ensuite le dossier restant en gras: c:\program files|Alwil Software • relance HijackThis " do a system scan only" , coche uniquement les lignes ci dessous et clic l'onglet" fixchecked":: O2 - BHO: (no name) - {4F96CCB9-01EC-419E-AAEA-C2C913F2A236} - (no file) O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Jean Pierre\lsass.exe O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe O20 - Winlogon Notify: tuvWonMf - tuvWonMf.dll (file missing) • supprime le fichier en gras ,UNIQUEMENT DANS CE CHEMIN!!!!!:: C:\Documents and Settings\Jean Pierre\lsass.exe • on va voir à remettre le fond d'ecran par default(ça va peut etre pas resoudre le soucis) avec: 1/desactiver temporairement antivir , clic droit dans le systray sur le parapluie ,et decoche antivir guard enable 2/Télécharge SmitfraudFix de S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. • reposte un nouveau rapport HijackThis

Tu veux pas poser un rapport HijackThis ?? ça serait plus facile pour les membres qui t'aident de voir l'eventuel soucis d'ordre viral qui perturbe ton affichage • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe la lancer, Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum