angelique

Lié à MSN , tu peux les effacer. http://www.besoindaide.com/ccm/fichier/sqm.htm

j'ai trouvé les images sur Google images , pour faire un screenshot de ça , à mon avis ça peut se faire sur une VM (Virtuel machine) ou sur une session prise de controle à distance , sinon

c'est quoi l'intéret de faire un screenshot de ça ?

doublon! http://forum.zebulon.fr/help-pb-imprimante...on-t164336.html

C:\Combofix tu supprimes apres ComboFix /u ERDNT est un des dossier crée par ComboFix pour save la ruche en cas de pépin , c'est celui la que tu remplaces par le nouveau ERDNT (erunt renommé par ERDNT) » Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTM.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes jusqu'en bas [emptytemp]; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :services Planificateur LiveUpdate automatique :files C:\Program Files\Symantec :reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify] "IconStreams"=- "PastIconsStream"=- :commands [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage. * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) » remasque les extensions de tes fichiers (poste de travail\outils\option des dossiers\affichage\cocher "masquer les extensions des fichiers dont le type est connu"

• tu as bien supprimé la selection des éléments trouvé par MBAM , car je vois "no action taken" , peut etre as tu posté l rapport puis supprimé la selection ensuite ? • tu me remettras un nouveau rapport HijackThis que je verifie la O23 apres ci dessous: • .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime son dossier restant apres disparition de l'icone de combofix de ton bureau en c:\Combofix Sauvegarde de la ruche systeme Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261 http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164 • telecharge ERUNT (ERDNT): http://www.derfisch.de/lars/erunt.zip http://www.aumha.org/downloads/erunt.zip http://dundats.mvps.org/Files/erunt.zip et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier de ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture: http://imagesup.org/images/1240900435-erdnt1.jpg * clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok. http://imagesup.org/images/1240900561-erdnt2.jpg *la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT http://imagesup.org/images/1240900791-erdnt3.jpg *ferme une fois terminé la fenêtre. .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*•

je viens de te dire oui. , supprime la selection trouvé par MBAM, accepte le redemarrage et vide sa quarantine.

vire le , c'est ça : http://www.malekal.com//Adware.Magic_Control.php

la solution légal--- Boot en mode sans echec , se logger sur administrateur et modif \ supp dans compte d' utilisateurs le mdp ...apres si MDP sur la session admin en MSE est locked , il ne sera pas donné la méthode google: ntpasswd bellamy

Certes , il n'y a pas actuellement Spybot, Spyware Doctor, PcTools etc... , mais n'y aurait il pas eu par le passé Spybot, Spyware Doctor, PcTools etc... , seul le user pourrra te le dire ^^

bah non ! sur http://www.generation-nt.com/trojan-mchinj...ssus-27656.html C:\WINDOWS\system32\Drivers\mchInjDrv.exe c'est pas pareil que : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv] "ImagePath"="\\??\\C:\\DOCUME~1\\VOTREO~1\\LOCALS~1\\Temp\\mc22.tmp" sur http://www.file.net/process/mchinjdrv.sys.html With more research, this appears to be from Spyware Doctor: "This appears to be a false positive detection...MchInjDrv is a third-party driver used by many security applications to provide process protection...Spyware Doctor in fact uses mchInjDrv as do many other legitimate security programs.

c'est pas une infection mchInjDrv , ce driver se met la plupart du temps avec certaine suite de sécurité. http://forums.spybot.info/showthread.php?t=774

oui c'est ok , j'edite ton sujet comme [resolu]

VDub et son PluGin Mpeg2 ? http://prdownloads.sourceforge.net/virtual....8.zip?download http://virtualdub.sourceforge.net/ http://www.virtualdub-fr.org/Files/Plugins...aries/MPEG2.zip MPEG-2 plugin v3.0 by fccHandler Released October 10, 2008 This is version 3.0 of my MPEG-2 plugin for VirtualDub 1.8.1 and later versions. To use it, create a folder named "Plugins32" in VirtualDub's program folder, and place the "MPEG2.vdplugin" file into that folder. VirtualDub will find and use the plugin automatically.

Le nouveau dossier en date de création est une sauvegarde de ta ruche, ça ne sert qu'en cas de corruption de ruche system (config\software_system_Isass missing) si c'est de ce nouveau dossier que tu parles.

Ton sujet est là : http://forum.zebulon.fr/analyse-hijackthis-t164031.html Utilise l'onglet "+repondre" sous le dernier message pour continuer dans le meme sujet. NB: j'ai combiné tes 3 sujets /!\

bah Bûche alors...........

ah c'est l'heure?

Bush ?

Rien ! juste clean.zip de Malekal , outils qui n'est plus maj depuis belle lurette , vide la quarantine d'antivir puis: • .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime son dossier restant ,apres disparition de l'icone de combofix de ton bureau, en c:\combofix Sauvegarde de la ruche systeme Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261 http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164 • telecharge ERUNT (ERDNT): http://www.derfisch.de/lars/erunt.zip http://www.aumha.org/downloads/erunt.zip http://dundats.mvps.org/Files/erunt.zip et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier de ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture: http://imagesup.org/images/1240900435-erdnt1.jpg * clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok. http://imagesup.org/images/1240900561-erdnt2.jpg *la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT http://imagesup.org/images/1240900791-erdnt3.jpg *ferme une fois terminé la fenêtre. .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*•

ok tu quarantine si des éléments sont trouvés( il en trouvera deja en c:\qoobox <-- la quarantine de ComboFix , tu peux quarantine mais pas ComboFix ) , et tu postes le rapport en fin d'analyse. Je pars au taf dans quelques instants , mais je le lirais dans la nuit ou demain ... je ne t'oublie pas

ok fait la suite suggérée antivir V9 et poste le rapport en fin d'analyse , IGNORE la détection sur ComboFix.

Change tes mots de passe MSN http://forum.malekal.com/msn-check-blocker...-msn-t6284.html

• desinstalle RegistrySmart s'il est présent dasn ajout\supp de programmes ainsi que LimeWire (poubelle à mp3 vérolés) • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Folder:: c:\documents and settings\USER\Application Data\RegistrySmart C:\Program Files\RegistrySmart File:: c:\program files\OTMoveIt.exe C:\WINDOWS\sysguard.exe Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify] "IconStreams"=- "PastIconsStream"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Program Files\\LimeWire\\LimeWire.exe"=- "c:\\WINDOWS\\System32\\mshta.exe"=- SkipFix:: [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.ça va etre rapide cette fois. Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • la version d'antivir est la V9 dorenavant , desinstalle celui que tu as , telecharges la V9 en FR ou US à ton choix : US:: http://dlce.antivir.com/package/wks_avira/...personal_en.exe FR:: http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Installe le (regarde le tuto: http://www.vista-xp.fr/forum/topic4162.html ) , configure le les cases cochées comme sur cette Video : http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi fait un scan de ton system et poste le rapport en fin d'analyse. IGNORE la détection sur ComboFix/!\

• désactiver TeaTimer:: Pour désactiver TeaTimer : Afficher d'abord le Mode Avancé dans SpyBot Options Avancées : - menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - cliquer sur Outils, - cliquer sur Résident, Dans Résident : - décocher Résident "TeaTimer" pour le désactiver. • relance HijackThis " do a system scan only" , coche uniquement et clic Fixchecked les lignes ci dessous: O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe O4 - HKCU\..\Run: [RegistrySmart] C:\Program Files\RegistrySmart\RegistrySmart.exe -boot O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe ==> clic Fixchecked • .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://imagesup.org/images/1238940640-cfdl.jpg http://imagesup.org/images/1240127722-cfsave.jpg Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ * Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• de plus je vois : SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité... Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d'être dans les premiers résultats de Google concernant une des infections présentes sur ton PC. Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d'antispywares sérieux. Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s'il est présent sur ton PC. Pour plus d'informations, voir :http://forum.malekal.com/viewtopic.php?f=56&t=12847