angelique

1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM. 2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur. 3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP. 4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération. 5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération. 6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE. 7. À l'invite de commandes, tapez et valider par enter chaque ligne: md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default exit

ton rapport HJT est ok! juste cette ligne que tu peux corriger: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE ---------------------- quel est le chemin ?? as tu réussi à le corriger??

si tu la branches sur le pc contaminé par style AdobeR.exe, ta clé sera infectée. Va donc faire analyser ton PC en postant un rapport HJT dans cette section et pas ailleurs: http://forum.zebulon.fr/index.php?showforum=51

tu as appliquer VaccinUSB.exe , tu laisses ces fichiers qui sont en lecture seule qui preservent desormais tout autre infections de meme style sur ta clé.<br /><br />

'soir Zonk , il ne faut jamais preconiser l'option /safeboot pour booter en mode sans echec , si elle est infecté par un bagle ,tu es sur et certain de ne plus la revoir sur le forum^^, n'ayant pas la possibilité de revenir en arriere, car aucun mode ne sera plus accessible .

ça correspond à ton Hosts, liens internet potentiellement dangeureux devenant inaccessibles au cas ou tu cliquerais dessus

**telecharge - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 << met le sur ton bureau ¥>ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. *** Fais un scan en ligne Kaspersky http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. * poste le rapport qui en decoule suivi d'un nouveau rapport HJT

là ça doit etre bon ton histoire de "" ...depuis IE tente d'ouvrir des pages web et j'ai une icone du type bouclier XP qui clignote en point d'interrogation..."" nan?

ok comment se comporte ton pc desormais?? *** Fais un scan en ligne Kaspersky http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. Poste le rapport qui en génere.

coche et clic fixchecked cette ligne : O22 - SharedTaskScheduler: ficklety - {e31f5c72-8e0d-4921-8375-9573746c170c} - C:\WINDOWS\system32\ezzhjmt.dll (file missing) tu as bien executer smitfraudFix option2 en mode sans echec, tu as bien fait cette etape: -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. -**renouvelle l'operation en mode normal avec smitfraudfix , option 2

tu veux pas poster les rapports smitfraudfix ?? et un nouveau rapport HijackThis??

nan , il est pas clean O21 - SSODL: alxvdvm - {D54330B3-FA9A-43C5-8F8A-FB1A08F8A4DB} - C:\WINDOWS\alxvdvm.dll http://www.bleepingcomputer.com/startups/a....dll-21067.html **donc lance HJT "do a system scan only", coche uniquement et clic fixchecked: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O21 - SSODL: alxvdvm - {D54330B3-FA9A-43C5-8F8A-FB1A08F8A4DB} - C:\WINDOWS\alxvdvm.dll **Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe sur ton Bureau. Double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. clic MoveIt **Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HJT

WHS est desactivé chez toi, donc pas de possibilité d'executer des *.vbs , js y'a que des exe et du .cmd dans cet outils. Il n'est donc pas necessaire à mon avis de reactiver WindowsHostScripting

Un peu de recherche quand meme !!! http://forum.zebulon.fr/index.php?showtopic=136238 http://forum.zebulon.fr/index.php?showtopic=118143

'soir Zonk , yenxt je partirais sur ce genre d'infection sur: ¥Télécharge sur ton bureau SmitfraudFix de S!Ri, moe31 et balltrap34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe , un dossier de meme nom est crée Dans le menu, sélectionne 1 ¥Redémarre en mode sans échec relance SmitfraudFix.cmd dans le dossier crée Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. ¥O22 - SharedTaskScheduler: ficklety - {e31f5c72-8e0d-4921-8375-9573746c170c} - C:\WINDOWS\system32\ezzhjmt.dll restant aussi nefaste à fixchecked

ah! ouai tiens , il a du chopper une capt sur le net qui y ressemblait ^^ , mais dans le fond ça concernait bien le LogonType ;o)

Mouarf!! à l'ouest que je suis ça doit venir de là: http://img179.imageshack.us/img179/3396/sanstitrevo2.jpg /me a honte de sa question -_- , c'est bien le firewall Sacles

rv31 , tu ferais comment toi si tu voulais virer lsass.exe:636 UDP 0.0.0.0:4500 *:*

raaahhh!! y'en a pas 36.000 pourtant des services qui prennent lsass.exe http://img50.imageshack.us/img50/4264/plopda6.jpg je seche

cette derniere ligne apparait si tu supprime hide comme sus dit dans msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 de sysoc.inf

je comprend bien Sacles ;o) , cependant ipsec en auto chez moi et le 4500 n'est pas là dans tcpview ^^, donc je cherche le pourquoi|comment edit>> je vois point de lsass.exe bloqué dans ZA pro ------------------------- rv31 est ce que ton services "fournisseur de la prise en charge de securité LM NT" [ntlmssp] est sur auto??

1/affiche dossier et fichier caché 2/ouvre avec ton bloc note sysoc.inf repere cette ligne : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 efface hide uniquement, donc ta ligne ressemble à ça: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7 **ferme le fichier , il te demande de sauvegarder, repond oui **rend toi dans ajout|supp de programme , ajouter|supprimer des composants windows et tu vas voir la derniere ligne à cocher ou decocher pour le desinstaller: http://img90.imageshack.us/img90/8083/sanstitre1qf3.jpg

voila sur la capt de rv31 c'est ce lsass --------- 4500 qui m'interesse de savoir comment je l'ai viré chez moi , ma memoire me fait default et j'ai point conservé le truc Ipsec etant en auto chez moi comme dans ma 1ere capt ^^ http://img106.imageshack.us/img106/6470/sanstitreyq8.jpg Alors sus aux idées ^^ merci

ok; je veux voir si tu as le port 4500 actif j'avais desactivé ce port 4500 [NAT-T] , mais je ne me rappelle plus comment c'est le but de ma demande^^

ok! maintenant me faudrait une capt comparative tcpview http://img244.imageshack.us/img244/2443/plopsm2.jpg merci ------------------- sacles ton service Ipsec est disabled ?? sc config policyagent start= disabled ou bien demand ??