angelique

Pouarf!! bah je suis pas gatée avec toi ;o) tu vas essayé d'avoir un rapport que je puisse tout de meme t'aider Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan. Si tu ne le fais pas le rapport ne sera pas entier, et tu devras recommencer * Enregistre le sur ton bureau * Ne double-clic pas dessus ! Fais un clic droit sur le fichier et extraire tout * Un nouveau dossier chercher va être créer DiagHelp * Ouvre le et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ). * Une fenêtre va s'ouvrir, choisis l'option 1 * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. * ATTENTION : pendant l'analyse, après le rapport "catchme sur l'écran rouge", il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran. * Lorsque l'analyse sera terminée... le bloc-note va s'ouvrir. * Copie/colle le contenu complet du bloc-note dans ta prochaine réponse Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

ok execute smitfraudfix option 2 en mode sans echec , je te prepare la suite pendant ce temps là -------------------------- edit! ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: RIFGNYCQ File:: C:\WINDOWS\system32\rifgnycq.bwa C:\WINDOWS\system32\kwbvgmvp.exe C:\WINDOWS\system32\bcfafecfc.dll C:\WINDOWS\system32\diperto.ini Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bcfafecfc] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

arf!! tu as edité ton 1er message Avant l'execution de Combo-Fix peux tu : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. relance SmitfraudFix.cmd dans le dossier crée et execute l'option 2 , poste le rapport avec le rapport de Combo-Fix

non, ne fait pas ce qu'il a dit !!!!! Suis les recommendations là avec lop SD http://eric.71.mespages.googlepages.com/lop.sd.exe http://www.assistepc.com/forum/lop-s-d-net...-lop-vt686.html

ça reste conseillé d'utiliser antivir, apres je ne t'oblige pas hein!! ;o) Si tu consideres que ton probleme est resolu , edite ton 1er message et met [resolu] dans son titre

Ton probleme est donc résolu?? ton soucis est peut etre un surf sur un site indésirable avec Avast http://forum.malekal.com/viewtopic.php?f=45&t=3528 http://forum.malekal.com/ftopic4192.php

Donc ça a l'air de sentir le bagle Télécharge combofix.exe (par sUBs) et sauvegarde le SUR TON BUREAU. http://download.bleepingcomputer.com/sUBs/ComboFix.exe Mais dans le fenetre de dialogue d'enregistrement tu le renommes avant de l'enregistrer par Combo-Fix * Double-clique Combo-Fix afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

c'est ennuyeux !! re supprime le --crée un nouveau dossier en c:\ nommé Gmer *telecharge http://www.gmer.net/gmer.zip et dezippe le dans le dossier precedemment crée *lance le , selectionne onglet Rootkit , clic scan *une fois le scan terminé , clic "copy" , puis ouvre ton bloc note, et colle le rapport dedans [edition|coller] selectionne tout le contenu du bloc note , et cop\colle le rapport ici

nan , pas besoin , juste sur cette session admin infectée. ça doit etre résolu ça ? **Telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected , patiente jusqu'à la fin du nettoyage Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. **Télécharge ewido anti-spyware micro scanner sur ton bureau. Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, clique Remove infections

oui

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. relance SmitfraudFix.cmd qui se trouve dans le dossier Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

desinstalle ta version de ComboFix en copiant\collant la ligne ci dessous dans menu demarrer__executer et clik "enter" ComboFix /u ReTélécharge combofix.exe (par sUBs) et sauvegarde le SUR TON BUREAU. http://download.bleepingcomputer.com/sUBs/ComboFix.exe Mais dans le fenetre de dialogue d'enregistrement tu le renommes avant de l'enregistrer par Combo-Fix * Double-clique Combo-Fix afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. j'espere qu'il va fonctionner comme ça ^^

remet un nouveau rapport HJT

ComboFix t'as effectivement viré VirusHeat desinstalle le en copiant\collant la ligne ci dessous dans menu demarrer--executer et valide par "enter" ComboFix /u 1/relance HJT " do a system scan only" coche uniquement les lignes ci dessous et clic fixchecked: R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: e404 helper - {A3D76B96-30B9-4DCC-9B3D-D12E31280D29} - (no file) O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab Mais il reste une infection netproject , donc; Télécharge SUR TON BUREAU SmitfraudFix de S!Ri, moe31 et balltrap34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe , un dossier de meme nom est crée à coté Dans le menu, sélectionne 1 et poste le rapport généré.

Bienvenu sur zebulon 1/*telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum 2/Télécharge SUR TON BUREAU SmitfraudFix de S!Ri, moe31 et balltrap34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe , un dossier de meme nom est crée à coté Dans le menu, sélectionne 1 et poste le rapport généré.

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu]. Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

**vide la quarantaine d'antivir et desintalle Combo-Fix comme SUS-dit!! c'est ton pc ? t'es co en ethernet Freebox.... assure toi que tu es en mode routeur et garde antivir http://www.freenews.fr/index.php?itemid=454 **telecharge sur ton BUREAU que tu dois deja avoir ^^ message precedent!! - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 - http://downloads.ewido.net/ewido_micro.exe ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected et aptiente jusqu'à la fin Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. ** Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau que tu posteras Poste le dans ta prochaine réponse. Nb, clique sur Remove infections ***telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum ------------------------ du coup ; à part un bagle chopé via une PJ ou crack , c'est pas grand chose....

ah ouai ok...... je pense mieux gérer avec un CFscript, car là LOL putain de convalescence hein !!! Oo Enfin tres interressant tout ça ----------------------------------- philipped94 Quoi??? j'attends tes commentaires!!! ;o) ----------------------------------- szbouby si il y est !! affiche fichiers&dossiers cachés et systeme, si tu peux tu l'upload ^^ [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\WINDOWS\\ntfyapp.exe"="C:\\WINDOWS\\ntfyapp.exe:*:Enabled:enable" Vois ça! 1/Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée,ne touche à rien pdt ce temps, un rapport apparaîtra que tu me posteras.

bagle a été nicked je suis pas chez moi , je fais au plus court **desinstalle Combo-Fix en copiant|collant la ligne ci dessous dans executer et valide par "enter" Combo-Fix /u **desinstalle avast et norton via ajout\supp de programmes utilise apres la desinstallation de symantec:: ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe execute le pour avast >>> supprime le repertoire en gras apres desinstallation %programfiles%\alwil software à lire >> http://forum.malekal.com/ftopic3528.php **Installe antivir: tuto >> http://www.malekal.com//tutorial_antivir.php et realise un scan , poste le rapport generé **telecharge sur ton bureau - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected et patiente jusqu'à la fin du nettoyage Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme.

wa² etant pas là , tu vas faire ceci: Télécharge combofix.exe (par sUBs) et sauvegarde le sur TON BUREAU. Dans la fenetre de dialogue d'enregistrement , tu renommes directement ComboFix par Combo-Fix << Tres Important!!! sinon bagle va le detecter http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique Combo-Fix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée,ne touche à rien pendant l'analyse, un rapport apparaîtra que tu me posteras.

certainement venu avec l'installation des sponsors de ce fabuleux, merveilleux ...... outils qu'est windows live messenger truc -_- http://www.malekal.com/msnplus_adaware.php

faudra tout de meme qu'il\elle eclaircisse ce point!!! je me base par rapport à son dernier message , ce qui a engendré cette réponse ^^

car je vois son IP d'ou elle post ^^ enfin du moins son dernier message:: ssv10-2-88-161-147-227.fbx.proxad.net (88.161.147.227) 88.160.0.0 - 88.165.149.255 Proxad / Free SAS Static IP address (Freebox) NCC#2005090519 Administrative Contact for ProXad Free SAS / ProXad 8, rue de la Ville L'Eveque 75008 Paris +33 1 73 50 20 00 +33 1 73 92 25 69 Technical Contact for ProXad Free SAS / ProXad 8, rue de la Ville L'Eveque 75008 Paris +33 1 73 50 20 00 +33 1 73 92 25 69 son 1er message etait de:: proxy.pprgroup.net (194.206.254. 194.206.254.0 - 194.206.254.255 TEAMTEL Vincent SCHAAL PPR Group 10, avenue Hoche 75008 Paris France +33 1 45 64 65 62 +33 1 45 64 64 62 ----------------------------- alors du coup elle serait à Honk-Kong maintenant??

as tu uploader le fichier?? si oui:: DNS pointe à Honk-Kong , ça me plait pas trop: telecharge et extrait sur ton bureau:: http://www.tacktech.com/pub/winsockfix/WinsockFix.zip assure toi que ta freebox est en mode routeur:: http://www.freenews.fr/nat/454-freebox-tut...embre-2006.html 1/relance HJT " do a system scan only" coche uniquement et clic fixchecked: R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: (no name) - {1817234B-E5C0-4C91-91C2-DB14F3DB3823} - C:\WINDOWS\system32\appmg.dll (file missing) O4 - HKCU\..\Run: [ntfyapp] C:\WINDOWS\ntfyapp.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domaine.barbot O17 - HKLM\Software\..\Telephony: DomainName = domaine.barbot O17 - HKLM\System\CCS\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30 O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF49F00-AE0A-443E-AC73-4D99A22F885F}: NameServer = 202.40.171.30 O17 - HKLM\System\CCS\Services\Tcpip\..\{985D3C75-7595-4F34-92A0-36838500D60E}: NameServer = 202.40.171.30 O17 - HKLM\System\CCS\Services\Tcpip\..\{B84F8CE3-C37C-4B04-8754-BC8BBA451489}: NameServer = 202.40.171.30 O17 - HKLM\System\CCS\Services\Tcpip\..\{BAFEF51C-6C5D-444E-B125-851073DECBDE}: NameServer = 202.40.171.30 O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDD6BDA-DBF4-4C01-A5CC-D46564CEDE06}: NameServer = 202.40.171.30 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domaine.barbot O17 - HKLM\System\CS1\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = domaine.barbot O17 - HKLM\System\CS2\Services\Tcpip\..\{26C210A7-17B7-4946-A995-903B087447BB}: NameServer = 202.40.171.30 2/si tu perds ta connexion , tu executes WinsockFix.exe, uniquement si tu la perds!!! 3/cree un nouveau dossier en c:\ nommé Gmer telecharge http://www.gmer.net/gmer.zip extrait le dans c:\Gmer 4/Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum 5/lance c:\Gmer\Gmer.exe onglet rootkit , clic scan à la fin du scan , clic "copy" ouvre ton bloc-note[executer--notepad] , edition, coller pour coller le rapport de gmer que tu posteras avec le rapport de SDFix