angelique

'jour Fred71 On va essayer de t'aider ;o) • *telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum • http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Télécharge Navilog1.exe (Il Mafioso) Installe le,un raccourci est crée sur le bureau il va se lancer tout seul, choisis l'option 1 et poste le rapport. Ton antivirus peut couiner sur ce ToolFix , donc tu le desactives temporairement le temps d'effectuer la manip.

• desinstalle ComboFix comme precedemment • relance HijackThis " do a system scan only " , coche les lignes ci dessous et clic onglet fixchecked: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: (no name) - AutorunsDisabled - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) • supprime la sauvegarde d'HijackThis , le dossier en gras: C:\Program Files\HijackThis\backup et ça sera ok. Tu as toujours le meme soucis??

• nop!! tu n'as pas du utiliser le CFScript correctement !!!! • vide ta quarantaine d'antivir , puis desactive le temporairement , clic droit sur le parapluie dans le systray et decoche antivir guard enable **desinstalle ComboFix en copiant , collant la ligne ci dessous dans executer et valide: ComboFix /u retelecharge ComboFix et refait la procedure CFScript.txt de mon message #2: http://forum.zebulon.fr/index.php?showtopi...t&p=1199705 c'est CFScript.txt si tes extensions sont affichés , sinon c'est CFScript si tes extensions ne sont pas affichés!!! si tu marques CFScript.txt.txt ça fonctionnera pas !!

Il faut donc restaurer ton boot.ini dans un 1er temp: http://forum.zebulon.fr/index.php?showtopi...st&p=846904

Cartier83 impecable , tu as bien travaillé . Pour tes points de restaurations infectés , il suffit de desactiver , puis reactiver la restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • sinon RAS , c'est propre , tu peux desinstaller kaspersky online via ajout\supp de programmes •tu n'as plus le message d'erreur au demarrage du pc? si oui supprime zou.reg , ainsi que regsearch [sauf si tu veux conserver le logiciel regsearch] ça se termine comme ça @++

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\mbxmqlkl.ini C:\WINDOWS\system32\enmjvcdx.ini Folder:: C:\temp Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E64BDFD2-7DC9-493A-94F2-928604F2AF8D}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msldr32] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqromkj] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Télécharge ewido anti-spyware micro scanner sur ton bureau. http://downloads.ewido.net/ewido_micro.exe * Double-clique sur le fichier ewido_micro.exe pour l'exécuter. * Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. * Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. * Clique sur Start Scan et laisse l'outil travailler. * Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. * Poste le dans ta prochaine réponse. Nb, clique sur Remove infections • vire avast pour antivir, configure le , met le à jour , scan ton pc avec et poste son rapport + nouveau rapport HijackThis pourquoi! : http://forum.malekal.com/viewtopic.php?f=45&t=3528 tuto: http://www.malekal.com/tutorial_antivir.php

bah vide ta corbeille et c'est ok.

par curiosité!! • telecharge et extrair en c:\ --> http://www.gmer.net/gmer.zip *onglet rootkit....scan...fin de scan clic copy \ ouvre ton bloc note[executer--- notepad] \ edition coller\ colle ici le rapport • Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip Désactive la protection en temps réel de ton AV le temps de l'installation et du scan Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan. Si tu ne le fais pas le rapport ne sera pas entier, et tu devras recommencer * Enregistre le sur ton bureau * Ne double-clic pas dessus ! Fais un clic droit sur le fichier et extraire tout * Un nouveau dossier chercher va être créer DiagHelp * Ouvre le et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ). * Une fenêtre va s'ouvrir, choisis l'option 1 * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. * ATTENTION : pendant l'analyse, après le rapport "catchme sur l'écran rouge", il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran. * Lorsque l'analyse sera terminée... le bloc-note va s'ouvrir. * Copie/colle le contenu complet du bloc-note dans ta prochaine réponse Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php • *telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum

ce sont des residus des maj de l'OS!! qu'il reboot.

t'as pas compris que si antivir bip , c'est que tu es vérolé ???? , c'est juste un foutage de gueule les capts hein!!!! • *telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum onglet "nouveau': http://forum.zebulon.fr/index.php?showforum=51 lis ça --> http://forum.zebulon.fr/index.php?showtopic=138211 je ferme celui là , tu serais capable de poster ton rapport HJT ici à la suite!!!

• si antivir Bip , suis les conseils de Zonk!! • sinon , desinstalle antivir et installe avast , il voit rien ....... pas de sirene ou configure antivir pour qu'il ne bip plus........... http://imagik.fr/view-rl/31511 http://imagik.fr/view-rl/31513

Bof!! pas grand chose , desinstalle kaspersky online via ajout \ supp de programme • supprime le gras : C:\Arkanoid MEGA Pack.iso ISOimage et pour terminer , 2 applications qui ne s'installent pas • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Télécharge ewido anti-spyware micro scanner sur ton bureau. http://downloads.ewido.net/ewido_micro.exe * Double-clique sur le fichier ewido_micro.exe pour l'exécuter. * Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. * Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. * Clique sur Start Scan et laisse l'outil travailler. * Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau avant de clic remove infections. * Poste le dans ta prochaine réponse. Nb, clique sur Remove infections

La suite.......... http://forum.zebulon.fr/index.php?showtopic=141630&hl=

Laisse ces sessions en place ;o) reposte un rapport Kaspesky , auquel tu as pris gout

c'est le poste de travail qu'il faut scanner et pas uniquement le dossier "windows" Refait le correctement le scan . ------------------------------------------------ Surement une fausse alerte: C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped http://www.01net.com/editorial/328175/cmdo...-il-un-virus-./ Va tout de meme faire scanner le fichier en gras chez jotti:: Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier en gras: C:\WINDOWS\system32\cmdow.exe Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

http://forum.zebulon.fr/index.php?showtopic=141617&hl=

• supprime C:\_OTMoveIt • tu vas etre mis à contribution , tu vas nettoyer ,tout seul à la main donc tu affiches dossiers\fichiers cachés et protégés systeme comme tu l'as deja fait , et chaque ligne du rapport kaspersky ou y'a infected tu vas supprimer le fichier en suivant le chemin Par exemple tu supprimes le gras: C:\Documents and Settings\Walter\Application Data\Identities\{52B54260-88EF-11F4-B084-806F4B4ACA1C}\Microsoft\Outlook Expr\Bochnakian.dbx/[From "Alain Bochnakian" <adresse email cachée>][Date Wed, 28 Nov 2001 15:34:21 +0100]/UNNAMED/SEARCHURL.MP3.pif Infected: Email-Worm.Win32.BadtransII skipped autre exemple: C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon autre exemple: C:\Documents and Settings\Walter\Application Data\Identities\{52B54260-88EF-11F4-B084-806F4B4ACA1C}\Microsoft\Outlook Expr\Bochnakian.dbx/[From "Walter Gilpin" <[email protected]>][Date Fri, 31 Dec 1999 18:57:35 +0100]/UNNAMED/gag.exe Infected: not-virus:BadJoke.Win32.KnijpMe skipped tu supprimes le gras, ça devrait le faire?? nb: je recache ton precedent rapport kaspersky pour masquer ton email

Ton rapport HJT est propre et Elibagla ne montre pas d'infection bagle. • vois à télécharger et executer , pour reparer ton mode sans echec: http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe • * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 et poste le rapport

Search for rootkits..............: on <<< met off , ça se reproduit???

'soir Jano ;o) • telecharge Elibagla en bas de la page http://www.zonavirus.com/datos/descargas/95/elibagla.asp * Clique sur le bouton Descargar Elibagla , place le sur le bureau. * execute le * Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\ * Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée. * Clique sur le bouton Explorar pour lancer l'analyse. Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt • *telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum == je lirais ces rapports demain

de rien d'avoir mis en doute de confiance ce que je t'ai dis!! .... ta question etait cependant pertinante ;o) @++

généralement les dossiers de spybot apres desinstallation se trouve là: C:\Program Files\Spybot - Search & Destroy C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy < faut afficher dossiers et fichiers cachés ! *sinon tu fais la procedure OTMoveIT avec cette ligne ;o) vu qu'il est desinstallé :: C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy C:\Program Files\Spybot - Search & Destroy On arrive à la fin de tes soucis là

bah de rien , tu restaureras ton boot.ini de cette maniere pour avoir de nouveau la possibilité de rebooter en mode normal. Ton Mode sans echec ayant l'air corrompu , Elibagla a la particularité de restaurer les valeurs safeboot du registre corrompu [entre autre!! apres une infection Bagle] Elibagla en bas de la page http://www.zonavirus.com/datos/descargas/95/elibagla.asp * Clique sur le bouton Descargar Elibagla , place le sur le bureau. * execute le * Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\ * Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée. * Clique sur le bouton Explorar pour lancer l'analyse. Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt ou bien :: http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe

• vide la quarantaine de spybot • bcp de mail de Microsoft outlook sont porteurs de merdes comme tu peux le voir et difficile pour moi d'en faire le tri!!, je serais toi, je viderais tous ;o) idem pour outlook express en passant le message à toute la famille , que une piece jointe ne s'ouvre jamais directement!!! mais il faut toujours l'enregistrer sous dans un repertoire dédié , la scanner avec son antivirus puis sur le site de jotti avant de L'OUVRIR!!!! http://virusscan.jotti.org/ • vide ta corbeille ou utilises atf cleaner (select all , empty selected ) • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Documents and Settings\Ed\Bureau\SmitfraudFix C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! ) C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar C:\Program Files\Visicom Media\FTP Expert 3\vmntoolbar C:\Program Files\vmntoolbar * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller. * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • tu referas un autre scan kaspersky online pour verification , tu posteras le rapport , je sais c'est long nb:: je masque ton precedent message , pour cacher les adresses mails

Oui ça m'inspire , ton boot.ini etant peut etre corrompu , ton pc tourne en boucle , ton boot.ini ayant été modifié par tes soins pour acceder au mode sans echec , faut pas faire ça pour y acceder, mais tapoter F8 au boot. désormais pour modifier le tir , faut refaire ton boot.ini de cette maniere: 1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM. 2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur. 3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP. 4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération. 5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération. 6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE. 7. À l'invite de commandes, tapez bootcfg /list, puis appuyez sur ENTRÉE. Les entrées dans votre fichier Boot.ini actuel s'affichent à l'écran. 8. À l'invite de commandes, tapez bootcfg /rebuild, puis appuyez sur ENTRÉE. Cette commande recherche sur les disques durs de l'ordinateur des installations de Windows XP, Microsoft Windows 2000 ou Microsoft Windows NT, puis affiche les résultats. Suivez les instructions qui s'affichent à l'écran pour ajouter les installations de Windows au fichier Boot.ini. Par exemple, suivez ces étapes pour ajouter une installation Windows XP au fichier Boot.ini : a. Lorsqu'un message semblable à celui-ci s'affiche, appuyez sur Y : Nombre d'installations de Windows reconnues : 1 [1] C:\Windows Ajouter l'installation à la liste des options de démarrage ? (Oui/Non/Tout) b. Un message semblable au suivant s'affiche : Entrez l'identificateur de chargement C'est le nom du système d'exploitation. Lorsque ce message s'affiche, tapez le nom de votre système d'exploitation, puis appuyez sur ENTRÉE. Il s'agit de Microsoft Windows XP Professionnel ou de Microsoft Windows XP Édition familiale. c. Le système affiche un message semblable au suivant : Entrez les options de chargement du système d'exploitation Lorsque ce message s'affiche, tapez /fastdetect, puis appuyez sur ENTRÉE. Remarque Les instructions qui s'affichent sur votre écran peuvent être différentes selon la configuration de votre ordinateur. 9. Tapez exit, puis appuyez sur ENTRÉE pour quitter la console de récupération. Votre ordinateur redémarre et la liste de démarrages mise à jour s'affiche lorsque le message "Choisissez le système d'exploitation à démarrer" s'affiche. http://support.microsoft.com/kb/289022/fr http://support.microsoft.com/kb/330184/fr Delicat !!! tu n'as pas le cd d'xp quelle idée........................ • une autre idée vu que tu accedes mode sans echec avec invite de commande ????? sur l'ecran de selection , n'est ce pas?? Utiliser la restauration systeme à un date anterieure , mais de grandes chances que si tu n'as pas netoyé , desactivé,reactivé la restauration systeme , que certains points soient vérolés!!! p't'etre mieux que rien Mini-tutoriel de restauration du système en mode sans echec avec invite de commande (par Angelique) Redémarre en invite de commande en mode Sans Échec. [*]Choisis ton compte usuel, et non Administrateur. [*]Saisie des lignes pour exécuter l'utilitaire de restauration système windows. 1ère méthode : saisis chacune des lignes ci-dessous et valide chacune d'elles par la touche [Entrée]: cd c:\ cd windows cd system32 cd restore rstrui.exe La fenêtre de l'utilitaire windows de restauration système s'ouvre, tu n'as plus qu'à suivre les instructions pour restaurer à une date antérieure à ton problème. [*]2ème méthode : saisis la ligne ci-dessous et valide par la touche [Entrée]: %windir%\system32\restore\rstrui.exe La fenêtre de l'utilitaire windows de restauration système s'ouvre, tu n'as plus qu'à suivre les instructions pour restaurer à une date antérieure à ton problème. === sinon j'ai pas d'autres idées sans le cd d'xp!!!