angelique

Ola Zonk ;o) peu d'utilité d'un kasperskyOnline apres un scan antivir ^^, ce dernier etant assez efficace.

Ton rapport HJT ne montre rien de mauvais ;o) quel est ton probleme réel ?? antivir t'alerte juste de la presence d'un trojan sur ton wga remover, donc à deleted.

c'est ce qu'il fallait^^, donc c'est ok??

c'est ok?? ta fenetre "mes documents" ne s'ouvre plus au boot?? dans ce cas , edite ton 1er post et met [résolu] dans son titre^^ un plaisir de t'avoir rendu service

à la vue de ton rapport je sais pas trop pourquoi?? On va prendre un risque sur une ligne qui n'est point infectieuse ; mais on va la corriger. j'espere que tout se passera bien F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe on continue de cette maniere:: 1/relance HJT " do a system scan only", coche uniquement et clic fixchecked:: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 2/la suite est à réaliser en ligne de commande[executer--cmd] dans la fenetre qui s'ouvre tu vas ecrire chaque ligne ci dessous et valider chacune d'elle par "enter"respecte les espaces!!! sc stop FTRTSVC sc delete FTRTSVC cd c:\ cd windows cd system32 del FTRTSVC.exe exit **reboot pour voir!!

ah!! tu remets un nouveau rapport HJT stp!

le .bat a bien bossé ^^ c'est normal c'est certainement du au fait que catchme est passé avant sur qwer78.sys, et que je n'ai pas modifié le bat , mais c'est pas grave. As tu d'autres soucis ?? ton pc fonctionne t'il ok??

Seulement et Uniquement , quand tu auras rélisé ce que te demande Malekal, tu feras ceci ci dessous:: c'est pas sur que cela fonctionne , mais peut etre que oui ^^, sinon on procedera autrement. **ouvre ton bloc note[executer--notepad], tu copies colles le contenu du cadre ci dessous: gmer.exe -del service Kmi42 gmer.exe -del service qwer78 gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\Kmi42" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qwer78" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\Kmi42" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qwer78" gmer.exe -del file "C:\WINDOWS\system32\drivers\qwer78.sys" gmer.exe -del file "C:\WINDOWS\system32\drivers\Kmi42.sys" gmer.exe -reboot tu enregistres ce fichier sur ton bureau sous le nom Rem.bat , attention!! "type de fichier---choisi bien tous les fichiers" sinon , je l'ai fais ici >> http://www.sendspace.com/file/3ksmmh double clic dessus, ton PC devrait rebooter refait un nouveau rapport Gmer STP , de la meme maniere que precedemment et poste le

bon bah , je sais pas!! Toute façon ton probleme d'originel est résolu, n'est ce pas?? Tu vas dans la partie software demander un nettoyeur de temporaire, çe n'est plus de l'ordre de l'infection^^ @++

ok , tu as du puissant RK , on va les virer ^^ mais avant je te demande d'uploader ces 2 fichiers en gras:: C:\WINDOWS\system32\drivers\qwer78.sys C:\WINDOWS\system32\drivers\Kmi42.sys là >> http://upload.malekal.com/ ------------------ Dis moi quand c'est fait. Je te prepare la suite.

essaie Là

1. Pour supprimer SDFix, est-ce que je procède comme pour ComboFix, ou je fais simplement supprimer son répertoire C:\SDFix ? Tu supprimes juste le repertoire c:\SDFix 2. J'imagine que je dois aussi désactiver puis réactiver le system restore pour effacer toute trace du trojan qui aurait pour etre copiée en backup, non? Tout à fait^^ 3. Si j'utilise normalement CCLeaner, est-ce que je dois aussi utiliser ATF Cleaner? Est-ce que c'est un meilleur outil de nettoyage? c'est toi qui voit, ATF cleaner ne restant qu'une application sans installation, tu peux tout de meme l'utiliser ;o) 4. Pour l'anti-virus, est-ce que je suis mieux de garder AVG, ou changer pour Antivir ou Ewido? Antivir reste effectivement un des meilleurs AV du moment http://www.malekal.com//tutorial_antivir.php ceci reste un choix personnel! ewido anti-spyware micro scanner n'est qu'une application , tu peux le garder et réaliser des scans ponctuels avec. ce n'est pas un anti virus ^^ ------------------- en espérant avoir répondu à tes questions ;o)

le lien est pourtant bon pour ATF cleaner recommence:: http://www.atribune.org/public-beta/ATF-Cleaner.exe

**telecharge http://www.gmer.net/gmer.zip crées un nouveau dossier en c:\ nommé Gmer et dezippe l'archive dedans **lance Gmer , onglet rootkit, clic scan 1/Attend la fin du scan et clic "copy" 2/ouvre ton bloc note [executer---note], onglet edition puis coller , ceci pour avoir la rapport de Gmer que tu me posteras ici.

**Tu peux corriger ce qu'a trouvé ewido microScanner ** regarde en c:\SDFix , tu dois avoir un fichier Report.txt, poste le contenu.

ok **supprime BTFix **relance HJT " do a system scan only" coche uniquement les lignes ci dessous et clic fixchecked:: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE **Pour terminer un peu de nettoyage avec 2 applications à télécharger sur ton bureau[pas d'installation ;o)] == - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ¥ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain reboot sera un peu plus long, le %windir%\prefetch ayant été vidé par ATF^^ ==Télécharge http://downloads.ewido.net/ewido_micro.exe sur ton bureau. Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau Poste le dans ta prochaine réponse clique sur Remove infections

**desinstalle navilog1 via ajout\suppression de programmes **relance HJT "do a system scan & save log file" , poste moi le rapport généré ;o)

c'est parfait ; tu as bien travaillé^^ 1/**desinstalle ComboFix de cette maniere , copie\colle dans executer la ligne ci dessous et valide par "enter": "%userprofile%\Desktop\combofix.exe" /u assure toi que c:\qoobox est aussi bien supprimé 2/**supprime SDFix et son rapport 3/**Pour terminer un peu de nettoyage avec 2 applications à télécharger sur ton bureau[pas d'installation ;o)] == - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ¥ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain reboot sera un peu plus long, le %windir%\prefetch ayant été vidé par ATF^^ ==Télécharge ewido anti-spyware micro scanner sur ton bureau. Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau si tu souhaite me le montrer Poste le dans ta prochaine réponse si tu souhaites me le montrer. Nb, clique sur Remove infections; ------------------- oui, j'ai laissé Malekal te repondre ^^:: http://forum.zebulon.fr/index.php?showtopic=138332 -------------------- Tu pourras desormais editer ton 1er post et mettre [résolu] dans son titre @++

//relance HJT " do a system scan only" , coche uniquement et clic Fixchecked:: R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file missing) O4 - HKLM\..\Run: [i downloaded pirated Software from P2P ] FIFA Football 2007 O4 - HKCU\..\Run: [Firewall auto setup] D:\DOCUME~1\SALIGN~1.001\LOCALS~1\Temp\winlogon.exe //telecharge sur ton bureau:: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. //Télécharge ewido anti-spyware micro scanner sur ton bureau. Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. corrige les entrées nefastes //Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HJT

regarde donc si dans CE repertoire tu as une icone Uninstal............, si oui double clic dessus. Si non on verra ça plus tard et suis le reste de la procedure en ométant le 1/ C'est pas tres grave^^ La suite Oui ;o)

http://www.malekal.com/Trojan.Win32.Agent....32.Small.ig.php ** http://forum.zebulon.fr/index.php?showtopic=138211

Mais refait tout de meme la manip. apres avoir comme sus-dit desinstallé ComboFix, recharger sur ton bureau un nouveau ComboFix,et desactiver ton AV temporairement le temps de la manip.

A mon avis non , y'a pas d'erreur de CFScript , c'est le genre de truc à éviter de faire des erreurs un tool aussi puissant. Je fais remonter l'info à SuBs ,donc tu patientes un petit peu stp! Pour SDFix , tu patientes avant de l'utiliser ^^ ----------------------- Simple question , ton AV n'aurait pas viré Nircmd.exe ?? **desinstalle cette version de ComboFix de cette maniere , copie\colle dans executer la ligne ci dessous et valide par "enter": "%userprofile%\Desktop\combofix.exe" /u **recharge ComboFix sur ton bureau, desactive temporairement ton AV , et refait glisser le CFScript.txt dessus. --------------------- j'attend une reponse de Subs , sur le pourquoi ça ne fonctionne pas. merci pour ta patience.

On voit bien qlqs lignes infectieuses!! cependant vu que tu es sous Vista, et que je ne connais pas ce trucOS , je ne vais pouvoir t'aider **Attend la venue d'un membre sécu qui s'est deja aventuré dans les méandres de ce systeme.

ok 1/**lance une invite de commande [executer---cmd] dans la fenetre noire qui s'affiche , tu copies ces lignes ci dessous en respectant tous les espaces(meme apres = ) et tu valides par enter chaque ligne:: sc stop BOONTY sc config BOONTY start= disabled **(garde ta fenetre d'invite de commande ouverte),desinstalle via ajout suppression de programmes:: BOONTY **supprime le dossier en gras:: C:\Program Files\Fichiers communs\BOONTY Shared **dans la fenetre d'invite de commande , tape et valide par enter les 2 lignes ci dessous:: sc delete BOONTY exit 2/lance HJT " do a system scan only" , coche uniquement les lignes ci dessous et clic fixchecked:: O4 - HKLM\..\Run: [Microsoft Update Machine] ofkdyp.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] ofkdyp.exe O4 - HKCU\..\Run: [Microsoft Update Machine] ofkdyp.exe 3/va supprimer ce fichier en gras si toujours present:: C:\WINDOWS\system32\ofkdyp.exe 4/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. **relance navilog1 et choisi l'option 4 [desinfection manuelle par saisie nom adware] à l'invite du nom de fichier à rentrer tu copieras scrupuleusement:: enjlkyu 5/reboot normal ** Télécharge BTFix de Bibi26. Dézippe l'archive sur ton Bureau. Ouvre le dossier BTFix. Double clique sur BTFix.exe. Clique sur Rechercher. Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. --------------------------------------------- Ouvre BTFix. Clique sur Nettoyer. Un rapport va apparaître, copie/colle-le dans ta prochaine réponse. ainsi qu'un nouveau rapport HJT+ le dernier rapport navilog1 --------------------------- Tu fais tout ça dans l'ordre. ------------------------------------------------