angelique

Desactive le teatimer de spybot sinon il va géner dans la desinfection!!!! • * Télécharge BTFix de Bibi26. http://www.bibi26.power-heberg.com/logiciels/BTFix.zip * Dézippe l'archive sur ton Bureau. * Ouvre le dossier BTFix. * Double clique sur BTFix.exe. * Clique sur Rechercher. * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. --------------------------------------------- * Ouvre BTFix. * Clique sur Nettoyer. * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. • Ton antivirus va couiner donc desactive le temporairement: Télécharge SmitfraudFix de S!Ri sur ton bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe, un dossier de meme nom est crée Dans le menu, sélectionne 1 Redémarre en mode sans échec: relance SmitfraudFix.cmd Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. • poste les rapports BTFix+SmitfraudFix+ un nouveau rapport HijackThis

ok Il te faut maintenant nettoyer ce qu'il reste sur tes clefs USB/disques dur externes, pour cela : SURTOUT ne pas double-cliquer sur le disque dans le poste de travail Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Ouvrez le poste de travail Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!! Choisis ouvrir dans le menu déroulant. Cherche un fichier autorun.inf(qui a deja été supprimé) et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs ou UFO.exe ou ressemblant à : juok3st.bat b.com ntde1ect.com x6.bat utdetect.com ntdelect.com d.com gumkrhf.bat ekugb3.bat m1t8ta.com 3wcxx91.cmd v.com b.com Si présents, supprimez le en faisant un clic droit puis supprimer. Répétez l'opération sur tous les disques se trouvant dans le poste de travail. • desinstalle ComboFix en copiant collant la ligne ci dessous dans executer et en la validant: ComboFix /u • tu as avast comme AV , separe toi de lui et installe antivir, scan à realiser , rapport à poster: pourquoi >> http://forum.malekal.com/viewtopic.php?f=45&t=3528 tuto >> http://www.malekal.com/tutorial_antivir.php

• vide tes temporaires d'iE via panneau de configuration , options internet , onglet générale , supprimer les cookies , supprimer les fichiers..... • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

• vide ta quarantaine antivir • desactive et reactive ta restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • pour s'assurer que tout est ok: * * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 et poste le rapport.

http://forum.zebulon.fr/index.php?showtopic=141470&hl= evite de multiplier les sujets: 1/ça agace 2/tu n'es pas pour autant plus pris en charge..............au contraire!!

Ok!! tu posteras les rapports quand tu les auras fait .Mais traine pas trop si tu te serts frequemment de ce PC Bonne soirée ;o)

executer -------- services.msc double clic sur la ligne horloge windows `type de demarrage ' automatique \ appliquer

perfect!!! ça me parrait ok , ça mérite un raisin ;o), le gros vilain n'apparrait plus , par contre tous tes ghost[tu as norton Ghost] de cette partoche , faudra les virer et en refaire une propre. • desinstalle ComboFix en copiant\collant la ligne ci dessous dans executer et valide la: ComboFix /u • met à jour la console javasun via panneau de configuration , clic sur la tasse de thé java , met à jour Avec le rapport antivir , tu ferras: • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Télécharge ewido anti-spyware micro scanner sur ton bureau. http://downloads.ewido.net/ewido_micro.exe * Double-clique sur le fichier ewido_micro.exe pour l'exécuter. * Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. * Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. * Clique sur Start Scan et laisse l'outil travailler. * Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. * Poste le dans ta prochaine réponse. Nb, clique sur Remove infections • * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto et poste le rapport avec celui d'antivir+ ewido : http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 =========== c'est de la broutille tout ça , vu ce que tu as deja parfaitement fait ===== ça prendra qlqs heures !!!!mais c'est essentielle pour finir de virer les dernieres petites merdasses qui trainaillent

Bon y'a pas eu de recréation aléatoire , vu le rapport de CF , c'est une bonne chose. fait ceci: • ouvre un invite de commande [executer----cmd ] comme precedemment et copie ceci et valide par "enter" gmer.exe -del reg "HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}" **reposte un rapport Gmer avant de faire la suite , et attaque la suite. **telecharge un antivirus qu'est antivir , met le à jour , configure le , scan ton pc et poste le rapport http://www.malekal.com/tutorial_antivir.php

ça se presente bien , me faut un rapport Gmer pour verification stp!! voir s'ila effectivement fait la fete à la CLSID stp!!

Rien de nefaste dans ce rapport , rien à supprimer;o) ça te va

ok!! tu vas etre le testeur d'un truc apres lecture des rapports

Tu en es ou?? tu es venu ce matin à 10h30 et cette aprem à 15h35 et tu n'as pas posté !! un souci??

ça serait pas zone alarm qui bloquerait?? va les autoriser dans controle des programmes: sur les lignes concernant ewido et antivir , met un point d'interrogation , comme ça ZA te demandera l'autorisation pour que les processus sortent.

la vois tu via executer ------- diskmgmt.msc ?? ton syteme d'exploitation??xp ?

GROSNUL va donc sur les forums P2P ................... Sujet fermé. Merci de bien vouloir consulter la charte du forum.

ok j'ai d'autres idées • ouvre une invite de commande [executer----- cmd], dans la fenetre de commande qui s'ouvre tape et valide par "enter" en respectant les espaces: gmer.exe -del reg "HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}" exit • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\TEMP\oekmqsscqms.drv C:\WINDOWS\system32\aiqcodo.drv C:\WINDOWS\TEMP\winlogan.exe C:\DOCUME~1\Walter\LOCALS~1\Temp\csrssc.exe C:\WINDOWS\TEMP\sqbbrsfnihd.drv C:\WINDOWS\SYSTEM32\cegegsiagl.drv C:\WINDOWS\PSEXESVC.EXE Folder:: C:\Program Files\SystemDefender Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDefender] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sgsgkkgo"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "oqajnkcg"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hhjg5jfd93dftdf] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jnskdfmf9eldfd] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lgrdpdi] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • telecharge pour le moment sur ton bureau : swreg et il me faut un nouveau rapport HijackThis stp

Et pour mon homebanking, voilà ce qui est indiqué : Votre PC doit être libre d'espiogiciel (Spyware). <<---- il l'est , ton pc n'a plus ni d'espiogiciels,ni spywares.... Les 'popup-killers' - des programmes qui bloquent les petits écrans - doivent être désactivés ou configurés de telle manière qu'ils ne bloquent pas les fenêtres popup du site Internet d'AXA et de Homebanking.<<--- ça viendrait plus de là alors Je t'invite à recreer un nouveau sujet mais cette fois ci dans la section software du forum, en precisant que tu as été pris en charge pour ta désinfection et que ton pc est désormais propre,donc le probleme ne vient pas de là!! , mais que tu cherches une solution pour ce soucis. j'edite ce sujet en [resolu] @++

ok tu peux donc desinstaller ComboFix comme precedemment et faire la suite se referant au message #7: http://forum.zebulon.fr/index.php?showtopi...t&p=1197065

bah bof!! = pas bon du tout ^^ , il s'est repliqué et meme plus ^^, il a pas du etre content Dommage , j'aurais aimé avoir le rapport de Gmer..............je te l'avais pourtant demandé dans mon message precedent

bah bof!! le nouveau rapport Gmer stp

c'est ok

Je suis absolument confuse j'ai oublié une infection!!!! Recharge ComboFix comme precedemment sur ton bureau ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: Windows NT-Session Manager File:: C:\WINDOWS\smss.exe C:\WINDOWS\ntnut.exe [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

regarde deja dans alerte et historique ce que bloque ZA , ip et port

dans ce cas , je te met un nouveau CFScript.txt dans ce message, ça sera cette procedure qu'il faudra faire • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\ojclpcsdlqi.sys C:\WINDOWS\TEMP\aqkieggckcq.nls Registry:: [-HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rronsoce"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "sioocseq"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu avec un nouveau rapport Gmer * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt