angelique

Réponse à moi-meme............. bon j'ai lspfixé Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:37:27, on 07/04/2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Winbond\HWDoctor\hwdoctor.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Documents and Settings\phreak\Bureau\Tcpview.exe C:\Documents and Settings\phreak\Mes documents\logs_rat\screamer038\screamer.exe C:\Documents and Settings\phreak\Mes documents\NisScript_2.3\NisScript 2.3\mirc.exe C:\WINDOWS\System32\svchost.exe C:\HJT\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HWDOCTOR.lnk = C:\Program Files\Winbond\HWDoctor\hwdoctor.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF9E29B-90B3-4D3F-B5A8-45D3E8D4FE1D}: NameServer = 192.168.0.1 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3876 bytes

'lo , je voulais savoir si quelqu'un sait à quel style de logs Client Service for NetWare se reference la lsp valide 010 en gras, sachant que dans les proprietes de la carte reseau , y'a pas ce client installé :ça se lspfix?? http://www.bleepingcomputer.com/startups/n....dll-13129.html Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:08, on 07/04/2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Winbond\HWDoctor\hwdoctor.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Documents and Settings\phreak\Bureau\Tcpview.exe C:\Program Files\FF\FirefoxPortable\App\firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\HJT\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HWDOCTOR.lnk = C:\Program Files\Winbond\HWDoctor\hwdoctor.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF9E29B-90B3-4D3F-B5A8-45D3E8D4FE1D}: NameServer = 192.168.0.1 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3839 bytes http://imagik.fr/view-rl/35750 Merci

bah!! comme avant en desactivant, reactivant la restauration systeme sur tous les lecteurs ou bien: Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. ouvre ton disque M: et clic droit sur le dossier system volume information\scan slected files with antivir , il devrait te trouver M:\System Volume Information\_restore{E85068A5-EFAB-4051-BEB8-73FE57A48065}\RP6\A0007306.exe Infected: Backdoor.Win32.Rbot.eiq et te proposera de le delete

c'est comme avant , c'est la restauration systeme de ton M:

bah , je le trouve ok ton rapport. Tu possedes antivir premium qui est un excellent support , tu devrais faire un scan avec lui .

Simplement un point de restauration infecté ; donc à désactiver puis à réactiver de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924

• desactive le teatimer de spybot!!!!!!!!!! Assurez-vous d'abord que vous l'utilisez en mode avancé : Menu "Mode" -> vérifiez que "Mode avancé" est coché, sinon cochez-le et confirmez. Bouton "Outils" dans la colonne de gauche -> "Résident" Décochez l'article : Résident "TeaTimer". • relance HJT "do a system scan only" , coche lignes ci dessous et clic fixchecked:: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\%%%%%.exe cette ligne corrigée , si tu reactives le teatimer de spybot , il va te demander si tu acceptes la modification , il faut donc accepter!!! • * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto>> http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 poste le rapport que tu auras precedemment sauvegardé avec un nouveau rapport HJT

http://forum.zebulon.fr/procedure-de-deman...oy-t138211.html

oui , c'est essentiel!

'jour • Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. ** upload le fichier en gras à cette adresse:: http://changelog.fr/upload/ C:\WINDOWS\system32\%%%%%.exe • Desactive le Teatimer sinon il va géner dans la desinfection **relance HJT " do a system scan only" , coche uniquement les lignes ci dessous et clic fichecked: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\%%%%%.exe • Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: http://sosvirus.changelog.fr/MSNFix.zip Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat. - Exécutez l'option R. -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement. • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\%%%%%.exe EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum avec le rapport MSNFix et un nouveau rapport HJT edit:: j'ai posté en meme temps que toi pear , je peux continuer si tu veux ^^ ; nb: y'a pas d'infection LOP ;o)

bah!! Messenger Skinner -_- http://www.malekal.com/Adware.Magic_Control.php

soit tu rentres le MDP de la session admin , la session que tu utilises certainement , soit y'a pas de MDP sur ta session , donc tu tapes just "enter"

desinstalle ton son via ton gestionnaire!! et resinstalle le mien

http://forum.generation-nt.com/securite-an...stament-172431/

'rci , j'ai édité ton sujet comme [resolu] @+

c'est vraiement rien ^^ • supprime le gras: C:\Documents and Settings\Christophe ROGER\Bureau\Assistances et définitions\clean C:\Program Files\clean.zip et désinstalle kaspersky online via ajout\supp de programmes @+

tu veux essayer: • telecharge sur ton bureau http://www.sendspace.com/file/h9jfty • clic droit dessus extraire ici • via ton gestionnaire de peripherique , tu localises par un ? jaune periph audio....... double clic dessus , mettre à jour , ne choisis pas recommandé mais manuellement tu va specifier le dossier,fichier stac97.inf qu'il doit te reclamer,que tu as precedemment extrait.

tu as pris le driver audio là?? http://support.dell.com/support/downloads/...=WW1&osl=EN

• Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. et supprime les dossiers en gras de spybot restant : C:\Program Files\Spybot - Search & Destroy C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy et remasque les fichiers et dossiers cachés, operation inverse que precedemment

ça serait pas un raccourçi d'IE que tu utilises pour le lançer?? avec extoff en fin de raccourci si c'est le cas , supprime le raccourci et recrées en 1 nouveau à partir de l'original ou clic droit sur ton bureau \ propriétés\ onglet bureau\onglet personnalisation du bureau\ coche internet explorer \appliquer

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. et va rechanger la frequence.

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

• vide ta quarantaine de spybot! • desactive ta resto system et reactive là de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • refait un rapport KasperskyOnline

tape ça dans executer: regsvr32.exe -u shmedia.dll et valide

ok • supprime C:\_OTMoveIt • poste le rapport ewido+kaspersky online+ nouveau rapport HJT