angelique

supprime C:\_OTMoveIt HijackThis est propre , supprime la sauvegarde de HjiackThis qui doit etre là, le dossier en gras: C:\Program Files\Trend Micro\HijackThis\backup c'est propre , as tu encore des soucis ?? si non tu peux utiliser l'onglet "editer" sous ton 1er sujet et mettre [resolu] dans le titre

ok , tu peux laisser ton second disque alors , c'est comme si c'etait un externe usb alors. Tu peux le debrancher si tu le souhaites , pc coupé ^^, pas à chaud hein!! vas y attaque comme j'ai dis ^^

http://fr.wikipedia.org/wiki/Master_boot_record le mbr ne contient que la routine d'amorçage de ton systeme d'exploitation comme le dit wiki, donc routine qui va entre guillement "lancer" les composants necessaires au boot , boot.ini, hal , ntldr......etc........ donc si ton amorçe est sur c:\ pas de soucis de sauvegarder sur l'autre partition ou cd ou support usb externe. En cas de soucis tu formateras c:\ en bootant sur le cd d'xp et reinstalera ton os sur c:\ +correctifs + AV + firewall sauvegarde sur autre support tout de meme en plus ;o)

J'attend le dernier rapport ComboFix et on va attaquer pour virer ce backdoor , tu as bien sauvegardé tes données ?

• si tu as bien suivi sur assiste et supprimer les dossiers restants , c'est ok ^^ • relance HijackThis " do a system scan only " , sélectionne,coche uniquement les lignes ci dessous et clic onglet FixChecked: O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\SBASTI~1\LOCALS~1\Temp\services.exe O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - C:\PROGRA~1\CASINO~1\casino.exe (file missing) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab si le TeaTimer couine , il faut accepter la modification!!!sinon il genera la suppression de la 04 • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Télécharge ewido anti-spyware micro scanner sur ton bureau. http://downloads.ewido.net/ewido_micro.exe * Double-clique sur le fichier ewido_micro.exe pour l'exécuter. * Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. * Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. * Clique sur Start Scan et laisse l'outil travailler. * Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. * Poste le dans ta prochaine réponse avec un nouveau rapport HijackThis Nb, clique sur Remove infections

Bah , tu vas le virer et installer antivir de cette maniere en suivant le tuto:: http://forum.malekal.com/ftopic4192.php • desinstalle ComboFix en copiant collant , puis en validant la ligne ci dessous dans executer: ComboFix /u • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Télécharge ewido anti-spyware micro scanner sur ton bureau. http://downloads.ewido.net/ewido_micro.exe * Double-clique sur le fichier ewido_micro.exe pour l'exécuter. * Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. * Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. * Clique sur Start Scan et laisse l'outil travailler.Antivir peut réagir sur les fichiers analysés, quarantaine en cas d'alerte * Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. * Poste le dans ta prochaine réponse. Nb, clique sur Remove infections • réalise un scan avec antivir, quarantaine les éléments trouvés et poste les rapports et nouveau rapport HijackThis

je t'ai donné la procedure dans mon message precedent!!!!!! IL faut desinstaller incredimail....... infos >> http://assiste.com.free.fr/p/logitheque/in...ler_incredimail

ok! • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: http://forum.zebulon.fr/index.php?showtopic=141332&hl= Collect::[27] C:\WINDOWS\system32\Drivers\Rvy36.sys C:\WINDOWS\system32\drivers\riode32.sys C:\WINDOWS\system32\drivers\Qux36.sys Driver:: Qux36 Rvy36 riode32 File:: C:\WINDOWS\system32\WLCtrl32.dll C:\d.MSNFix C:\xkufbjjc.MSNFix C:\xkufbjjc.exe C:\wcbcapm.MSNFix C:\wcbcapm.exe C:\WINDOWS\system32\winfrun32.bin C:\WINDOWS\system32\drivers\Qux36.sys C:\WINDOWS\System32\eqdtrn.exe C:\WINDOWS\system32\Drivers\Rvy36.sys C:\WINDOWS\system32\drivers\riode32.sys Folder:: C:\SDFix C:\74060203 C:\Program Files\ErrorSafe Free Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Flash Media"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced DHTML Enable] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Error Safe Free] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ErrorSafeFree] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt *une fentere d'upload devarit s'afficher , upload le zip sur ton bureau • reposte avec un nouveau rapport HijackThis

pas grand chose • desintalle kaspersky online via ajout\supp de programmes • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Documents and Settings\Henri\Mes documents\MSNFix * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller. * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum avec un nouveau rapport HijackThis. Tu dois te sentir soulagé , c'est mieux ^^

Bon ok!! Gmer voit plus le RK MBR mais faut que je me renseigne d'un truc qui va pas car ça sera interminable. malekal m'a conseillé départitionnage\formatage • desinstalle ta version de ComboFix en copiant collant la ligne ci dessous dans executer et valide la : ComboFix /u • ceci ci dessous va les éliminer mais se recréer aléatoirement!! en relation direct avec le rouge de Gmer ci dessous. ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\ojclpcsdlqi.sys C:\WINDOWS\TEMP\aqkieggckcq.nls Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rronsoce"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "sioocseq"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt ----------------------------------------------------- Ton rapport de Gmer est mieux mais montre bien les points incriminés que je ne sais pas comment traiter ... enfin sans planter ton pc en rouge: Je ferais direct un via CFScript Registry:: [-HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}] mais ne le fait pas!! Vu que je suis toute seule sur l'affaire .... et que j'aimerais que d'autres experts sécus (qui sont de plus en plus rare en intervention ) interviennent , je ne sais pas .... je ne veux pas te faire jouer à pile ou face! c'est pas mon PC je vais voir à me renseigner...peut etre.... [/color]

Sur des IP fixe , ça peut éventuellement se raprocher de la réalité ..... http://www.maxmind.com/app/locate_ip

Bizarre le rapport HJT !! en plus il manque le rapport msnfix et sdfix .............. comme tu les as utilisés. Pas d'antivirus??? t'en a eu marre de l'entendre couiner?? • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau sous le nom Combo-Fix tu le renommes directement dans la fenetre de dialogue d'enregistrement http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

j'ai quelques ide 80Go qui sont mis en slave dedans si besoin dans le boitier zx-9 : http://www.materiel.net/ctl/Boitiers_exter...3-ZX_9_USB.html

Tu veux faire un rapport Gmer comme precedemment stp! mais c'est pas bon à mon avis !!! • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\TEMP\ldgoeq.sys C:\WINDOWS\system32\qggssaoii.dll Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "lgrdpdi"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "gdsgejks"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Tu fais tout ça dans l'ordre , imprime les instructions car tu n'y auras pas acces en Mode Sans Echec • * Télécharge BTFix de Bibi26. http://www.bibi26.power-heberg.com/logiciels/BTFix.zip * Dézippe l'archive sur ton Bureau. * Ouvre le dossier BTFix. * Double clique sur BTFix.exe. * Clique sur Rechercher. * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. --------------------------------------------- * Ouvre BTFix. * Clique sur Nettoyer. * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. Desactive temporairement avast!!!! • Télécharge SmitfraudFix de S!Ri sur ton bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute le , un dossier de meme nom est crée sur ton bureau Dans le menu, sélectionne 1 • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. •Redémarre en mode sans échec:: **relance SmitfraudFix.cmd dans le dossier qui s'est crée sur ton bureau Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. **Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec le rapport BTFix+rapport SmitfraudFix ainsi qu'un nouveau rapport HIJACKTHIS.

Le zip n'est qu'une appli ,ça se supprime juste, l'appli n'est pas vérolée.

clic droit sur le teatimer dans ton systray , \ reglages \ tu arrives dans la fenetre liste noire_blanche. Il suffit de cocher les croix en bout de ligne pour supprimer les valeurs,et que la question te soit reposée dans modif autorisées,bloquées, process autorisées,bloqués. Suis le tuto que je t'ai mis de kaspersky online pour le faire correctement et enregistrer sous , le rapport e fin de scan afin de le poster.

c'est précisé:: Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit detected !!! <-- ROOTKIT !!! Attaque la procedure fixmbr et CFScript je te previens c'est absolument pas gagné

http://www.pcinpact.com/actu/news/42562-vi...nstallation.htm

Bien sur accepte sinon spybot va géner à sa suppression Pour descativer TeaTimer sinon c'est via l'interface de spybot , mode\mode avançé\outils\resident\decocher TeaTimer puis: • desinstalle ComboFix en copiant collant la ligne suivante et en la validant dans executer: ComboFix /u • * Fais un scan en ligne Kaspersky http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto et poste le rapport >> http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566

Tu fais bien de supprimer les alertes d'avg., elles devraient ne plus revenir vu que l'infection est maitrisée. Je reflechis et attendant fais ci dessous:: • vide tes temporary internet files, propriétés internet , supp fichiers •telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. • Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau: http://sosvirus.changelog.fr/MSNFix.zip Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat. - Exécutez l'option R. -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

oui il y'a de l'amélioration , pas besoin de formater. Tu peux me dire le chemin et le fichier qu'avg te detecte stp.

Oui tu peux mettre [resolu] dans le titre de ton 1er message , en utilisant l'onglet "editer" sous ton 1er message ;o) @+

tu as juste à supprimer ce fichier C:\_OTMoveIT et vider la quarantaine d'antivir ;o) le pc tourne bien?? @++

et le service est en auto ou manuel??