angelique

sur une session admin infectée ,infection bien sure prise en charge par smitfraudFix, ça suffit.

'tain meme pas au moins le sp1 ou sp2 pffff!!!!!! Arrete l'informatique hein!!! *desactive ton TeaTimer de spybot , ça va gener la desinfection sinon!!!!!!!!!!!! 1/relance HJT " do a system scan only" ,coche les lignes ci dessous et clic fixchecked: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpa.dll/blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpa.dll/asst.htm F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\rxjddnvj.exe, O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file) O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file) O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file) O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file) O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file) O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file) O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file) O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file) O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: (no name) - {75BC0FE9-0320-B195-F169-906263F5741D} - C:\WINDOWS\system32\atlsp.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file) O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file) O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file) O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file) O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file) O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [strmsnnrs] msnmcgrs.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [strmsnnrs] msnmcgrs.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Hbryerz] C:\WINDOWS\system32\??xplore.exe O4 - HKCU\..\Run: [strmsnnrs] msnmcgrs.exe O4 - HKCU\..\Run: [iMC] C:\Program Files\FriendFinder\FriendFinder Messenger 40\imc.exe O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.75tz.com/codac/inst2_ax.cab 2/desactive l'antivirus de norton , il est meme pas actif Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée,ne touche à rien pendant le scan, un rapport apparaîtra que tu me posteras.

je ne prends pas ton sujet en charge , dsl , mais veux tu stp uploader ce fichier en gras:: C:\WINDOWS\ntfyapp.exe là >> http://upload.malekal.com/ -------- 'lo Zonk , y'a du RK[Rootkit] aussi ^^---- je te laisse continuer.

j'en sais rien, je connais pas WMP

bah , pas besoin d'avoir fait langue sup. pour piger quand meme!!!! http://imagik.fr/view-rl/19291 http://imagik.fr/view-rl/19292

et une petite appli comme celle ci à dezipper ou tu veux detecte t il ton graveur?? http://www.mispbo.com/burner30.zip

bon ok!! , j'edite ton sujet comme [resolu] de ce pas alors ;o)

telecharge http://eric.71.mespages.googlepages.com/LopSD.exe tuto >> http://eric.71.mespages.googlepages.com/lop.sd.exe execute comme dit les options 1 et 2 ^^, poste les rapports générés avec un nouveau rapport HJT complet cette fois ci, il manque le debut.

'jour , tu peux le supprimer car il ne revele rien! *telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe Double-clique sur HJTInstall.exe pour lancer le programme Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum

hello ;o) y'a un LOP à traiter:: O4 - HKCU\..\Run: [encflag] C:\DOCUME~1\SANDRI~1\APPLIC~1\AXISON~1\first cast.exe ---------------------------- lopxpMH2 de Lazzzy sur ton bureau. http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. Dans ta prochaine réponse, poste : - le contenu du rapport qui va s'ouvrir ou plus simple:: http://eric.71.mespages.googlepages.com/LopSD.exe tuto >> http://eric.71.mespages.googlepages.com/lop.sd.exe

desinstalle kaspersky online via ajout|supp. e programmes Poste un dernier rapport HJT pour verification ;o)

il faut le rapport ComboFix ; merci

ok et tu es avec un modem speedtouch 330 qui ne fait pas office de routeur , donc tu gardes Panda Internet truc pour le moment, tu fais ce que je t'ai dis dans mon message precedent ---------------- zonk ; Première raison: << Il est pourtant installé et c'est son firewall\antivirus, donc tu la lacherais sur le net sans firewall^^, 20s et plop blaster & co

Phengizy , Zonk pourquoi vous prenez pas en charge directement son infection Vundo ????? Oo pourquoi vous lui faite virer panda internet security qui est son seul firewall....... NAN, ne supprime pas Panda c'est ta seule protection firewall vu que tu n'as pas le sp2, ça s'installe une fois les infections maitrisées Desinstalle antivir pour le moment par contre je pige pas ton rapport , tu es chez wanadoo, orange ou office depot c'est quoi?? c'est de là que tu nous ecrit quel est ton modem de connexion?? routeur?? aurore59 , desactive temporairement ton antivirus panda , juste l'antivirus , pas le firewall surtout!!! Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

bon OK , tu formateras F: via executer---diskmgmt.msc un simple clic droit formater sur la barre representant F: le permettra par contre tu as bien repéré les infections restantes sur c:\ *desinstalle Rippackv3 via ajout\suppression de programmes ainsi que themexp et MultiMedia France Toolbar s'ils y sont supprime ces dossier en gras ci dessous::

le sp1 de Vista amenera au non fonctionnement de ces logiciels http://support.microsoft.com/?scid=kb%3Ben...mp;x=5&y=14

acheter un portable nu peut etre ta solution ^^

bon tu as desinstallé ComboFix c'est parfait ^^; devait y avoir en c:\ un rapport ComboFix1.txt , mais il a du etre viré. **derniere etape: * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. ===poste le rapport ===tuto >> http://bibou0007.com/tutos-et-lexique-f45/...online-t394.htm

ok ;o) **supprime c:\SDFix **c'est le rapport de 07:51:55 qu'il faut que tu m'heberges STP ;o) **desinstalle ComboFix de cette maniere, copie\colle dans executer la ligne ci dessous et tape "enter" Combo-Fix /u **supprime cette valeur registre en gras: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\04188b12

Pourrais tu stp heberger ce rapport de ComboFix << ComboFix-quarantined-files.txt 2008-02-21 07:51:55 >> là >> http://www.sendspace.com/ et donner le lien de telechargement stp!! c'est pour l'histoire du 0 souligné

tout à fait , tu evites les links dans ta signature pour faire de la pub. merci

Re --------------- 1/supprime C:\SDFix 2/telecharge les 2 applications suivantes sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 - http://downloads.ewido.net/ewido_micro.exe 3/ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: cel90xbe File:: C:\WINDOWS\system32\leygvsdn.ini C:\WINDOWS\system32\wkwhlbjs.ini C:\WINDOWS\system32\iqxhrvar.ini C:\WINDOWS\system32\ucbhklvi.dll.vir C:\WINDOWS\system32\ziftvpuq.dll.vir C:\WINDOWS\system32\winmgnt.dll.bkup C:\WINDOWS\web\related.htm C:\WINDOWS\system32\ucbhklvi.dllbox C:\WINDOWS\system32\zdhycgwh.dllbox C:\WINDOWS\System32\ravrhxqi.dll C:\DOCUME~1\CSDB\LOCALS~1\Temp\cel90xbe.sys Folder:: C:\Program Files\Save Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00000010-6F7D-442C-93E3-4A4827C2E4C8}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2450411B-97DB-4595-865B-E23B0D6273A5}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30192F8D-0958-44E6-B54D-331FD39AC959}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{587d47c7-deca-4e55-a849-ec54a608192c}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8993F53C-4EF5-4B37-9DBD-E5DD7684709C}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEDA48D9-F52E-4469-B97F-8F36EB3CB317}] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt **Je te fais supprimer une valeur registre manuellement car avec les BBcode ça chie, car y'a un 0 sousligné executer--regedit va supprimer cette valeur en gras: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\04188b12 4/ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente jusqu'à la fin du nettoyage,ton prochain reboot sera + lent, c'est normal, le %windir%\prefetch ayant été vidé. Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. 5/ Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau que tu me posteras Poste le dans ta prochaine réponse. Nb-->clique sur Remove infections ===poste le nouveau rapport de Combo-Fix, le rapport ewido & un nouveau rapport HJT=== QUESTIONS Tu es chez orange, avec leur livebox? ou routeur netgear??je pense plus ce dernier. Tu es sous ServicePack1 de XP , est ce un choix personnel??le ServicePack2 reste telechargeable: http://www.microsoft.com/downloads/details...45-9e368d3cdb5a meme si tu n'utilises pas les MAJ auto pour ton systeme, il est conseillé de le mettre. je suis aussi sous sp1 + qlqs correctifs supplementaire; je te laisse le choix ^^

heu!! je vais pas passer ma soirée à combiner tes messages hein!!!! tu va attendre que charles ingals te donne la manip CFScript.txt , il est pas là donc tu patientes!!!!!!!!!!!!!!! http://forum.zebulon.fr/index.php?showtopi...t&p=1180203 post closed!!

oui y'a de grande chance ^^.... tout n'est pas du "virus" et vide ta corbeille .

sans incredimail , tu n'aurais plus de page de pubs ^^ 1/desactives|reactive ta restauration systeme:: http://service1.symantec.com/SUPPORT/INTER...020830101856924 2/vide ton cache de FF:: http://imagik.fr/view-rl/18630