angelique

j'm'en doutais !!! Je sais pas comment tu as choper ça , mais c'est du béton pffff!!!! Je sais pas trop comment on va s'en dépatouiller ^^ mais....... -------------------------------------- 1/lance HJT "do a system scan only" et coche puis clic fixchecked: O4 - HKLM\..\Run: [54f17b79] rundll32.exe "C:\WINDOWS\system32\dnokqunl.dll",b 2/Télécharge Combofix sUBs : combofix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs! puis clic sur OK. Il va te poser une question, réponds par la touche 1 et entrée pour valider. Attends que combofix ait terminé,NE TOUCHE A RIEN PENDANT QU'IL BOSSE!!, un rapport sera créé. Poste le rapport.

Si tu veux malgré tout récupérer tes données et les save sur cles usb ,opte pour kaella en bootant dessus | Mount le HDD qui contient tes données|branche une clé usb et par simple glisser\deposer ou copy\paste tu save tes données. http://www.malekal.com/RecuperationDonnees.php Tu peux aussi brancher ce HDD en slave sur un autre PC ou dans rack HDD externe USB.

c'est pas normal, c'est caracteristique d'une infection: O4 - HKLM\..\Run: [system12] C:\WINDOWS\system32\ne0kS.exe Je déplace ton sujet dans la bonne section pour qu'un conseiller sécurité te prenne en charge.

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00ED92.dat 1/avec Icesword , efface le contenu de la valeur AppInit_DLLs, n'efface pas cette valeur mais juste son contenu en double cliquant dessus et clic ok le contenu devant etre vide comme ceci: http://img406.imageshack.us/img406/7420/sanstitrekt4.jpg 2/la nom n'ayant pas changé **lance HijackThis "do a system scan only",coche et clic fixchecked: O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00ED92.dat ****Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): Files to Delete: C:\WINDOWS\system32\__c00ED92.dat Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. **Maintenant, lancer The Avenger en cliquant sur son icône du bureau. * Sous "Script file to execute" choisir "Input Script Manually". * Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" * Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V). * Cliquer Done * ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script * Répondre "Yes" deux fois quand demandé. tu me posteras le nouveau rapport avec un nouveau rapport HijackThis ------------------------ ça va peux t'etre fonctionner comme ça en supprimant le contenu de AppInit_DLLs avant ---------------- si non , on va reflechir ;o)

extraire system ou software (missing or corrupt) d'un point de restauration en console de recuperation 1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM. 2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur. 3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP. 4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération. 5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération. 6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE. 7. À l'invite de commandes, tapez et valider par enter chaque ligne: md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default exit

pas de résolution !! OUT! acceptons les cookies!!!et JS [javaScript] la page est dispo................... http://img102.imageshack.us/img102/6200/sanstitrerh6.jpg

**supprime c:\SDFix j'ai besoin d'une precision! Avant d'utiliser The Avenger , antivir t'avait il detecté C:\WINDOWS\system32\__c00C7090.dat et l'avais tu mis en quarantaine?? Mes soupçons sont fondés sur le fait qu'il s'est recrée O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00ED92.dat sous un autre nom Il est penible ton bordel ^^ On refait un truc avant d'utiliser un autre Tool ;o) 1/Desactive antivir temporairement | clic droit sur le parapluie dans ton systray | decoche antivir enable guard Le but est que antivir ne réagisse pas sur ce .dat 2/**Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): Files to Delete: C:\WINDOWS\system32\__c00ED92.dat Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. **Maintenant, lancer The Avenger en cliquant sur son icône du bureau. * Sous "Script file to execute" choisir "Input Script Manually". * Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" * Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V). * Cliquer Done * ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script * Répondre "Yes" deux fois quand demandé. tu me posteras le nouveau rapport avec un nouveau rapport HijackThis Je vais mettre ton intelligence à contribution ^^ 3/allez telecharge http://xfocus.net/tools/200509/IceSword_en1.12.rar extrait le 4/lance IceSword onglet registry deroule l'arborescence à gauche jusqu'à: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows sur la fenetre de gauche tu dois voir AppInit_DLLs, j'ai besoin soit de tes yeux soit d'une capture de ce qu'il y'a dedans [double clic sur AppInit_DLLs];NE supprime RIEN!!! http://img75.imageshack.us/img75/6302/sanstitresp8.jpg ---------------------- Charles devrait certainement intervenir de nouveau ^^, on s'est contacté.

bon et en plus elle se recrée et c'est pas la meme -_- >> O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00C7090.dat **vide la quarantaine de antivir et supprime le dossier en gras: C:\_OTMoveIt Faut faire la suite à la lettre , mais ça peut etre chaud!! 1/lance HijackThis " do a system scan only" coche et clic fixchecked: O4 - HKLM\..\Run: [54f17b79] rundll32.exe "C:\WINDOWS\system32\tbrvdoso.dll",b O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 2/Télécharger The Avenger par Swandog46 sur votre Bureau. http://swandog46.geekstogo.com/avenger.zip l'extraire sur le bureau **Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): Files to Delete: C:\WINDOWS\system32\tbrvdoso.dll C:\WINDOWS\system32\__c00C7090.dat Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. **Maintenant, lancer The Avenger en cliquant sur son icône du bureau. * Sous "Script file to execute" choisir "Input Script Manually". * Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" * Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V). * Cliquer Done * ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script * Répondre "Yes" deux fois quand demandé. **The Avenger va automatiquement faire ce qui suit: * Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.) * Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL. * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 3/Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe **double clic dessus , il va s'extraire en c:\SDFix **Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Redémarre ton ordinateur * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8. * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". * Choisis ton compte. Déroule la liste des instructions ci-dessous : * Ouvre le dossier SDFix qui vient d'être créé en c:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le script. * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis et le rapport avenger.txt N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil. ----------------------------

ça me saoule de voire des sujets si peu explicite !!!!!!!!!!!! Soit le sujet est detaillé et les problemes expliqués [directory ....patati] soit c'est fermé!! pas de voyance sur zebulon.

bon y'en a encore meme si antivir a bien fait le menage!! mais y'a du recalcitrant, et on va p't etre pas sortir le canon pour virer ça. **vide la quarantaine de antivir et supprime le dossier en gras: C:\_OTMoveIt On va faire ça de cette maniere en mode sans echec 1/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. **lance HijackThis "do a system scan only" , coche les lignes ci dessous uniquement et clic fixchecked: O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\zjuaaysc.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0066179.dat O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\sgoexnyt.exe (file missing) *** Copie le texte ci-bas et RIEN D'AUTRE!!!(sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\system32\__c0066179.dat C:\WINDOWS\system32\dakdepop.dll C:\WINDOWS\system32\geedd.dll C:\WINDOWS\system32\vgfddwtv C:\Program Files\Rqflosch C:\VundoFix Backups * Double-clique sur OTMoveIt.exe afin de lancer le programme. * Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée * Fais un Clique-droit sur le cadre de gauche puis choisis Coller. * Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. **réalise un nouveau scan antivir toujours en mode sans echec et poste le rapport avec le rapport OTMoveIt et un nouveau rapport HijackThis A mon avis , C:\WINDOWS\system32\__c0066179.dat [PurityScan] va etre pénible à virer , mais on devrait l'avoir d'une autre maniere. Aussi j'ai besoin de ces nouveaux rapports

allez ......... je particpe en commençant par............... Moi je conseille ATF cleaner: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 << à telecharger sur le bureau tuto:

De pire en pire oui!!! rogue Ultimatecleaner en plus tsss!! http://forum.malekal.com/viewtopic.php?f=56&t=4887 1/executer---services.msc double clic sur la ligne de service Service: DomainService "type de demarrage" >>> desactiver | appliquer clic onglet "arreter" 2/relance Hijackthis "do a system scan only" , coche uniquement les lignes ci dessous et clic fixchecked: O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\zjuaaysc.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sC2] C:\Program Files\SecCenter\scprot4.exe O4 - HKLM\..\Run: [54f17b79] rundll32.exe "C:\WINDOWS\system32\nojsrear.dll",b O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\Patrick\LOCALS~1\Temp\qrjatydi.exe" O4 - HKCU\..\Run: [ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\UltimateCleaner.exe" hide O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0066179.dat 3/telecharge - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 << met le sur ton bureau 4/Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe * Copie le texte ci-bas et RIEN D'AUTRE!!!(sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\system32\zjuaaysc.dll C:\Program Files\Ultimate Cleaner C:\Program Files\SecCenter C:\WINDOWS\system32\__c0066179.dat C:\WINDOWS\system32\nojsrear.dll C:\WINDOWS\system32\sgoexnyt.exe * Double-clique sur OTMoveIt.exe afin de lancer le programme. * Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée * Fais un Clique-droit sur le cadre de gauche puis choisis Coller. * Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. 5/ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. 6/installe un antivirus antivir: http://www.malekal.com//tutorial_antivir.php réalise un scan avec et poste le rapport avec le rapport OTMoveIt et un nouveau rapport HijackThis

reste sur ton sujet initial , et utilise l'onglet "repondre" entre les onglets "flash" et "nouveau" http://forum.zebulon.fr/index.php?showtopic=134447

doublon! http://forum.zebulon.fr/index.php?showtopic=134213&hl=

donc à verifier dans executer--regedit Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "LogonType"=dword:00000001 valeur hexadecimale de logon type à mettre sur 0 ou 1 en double cliquant sur logontype dans la fenetre de gauche. ou bien à verifier dans executer ---- control userpasswords2 selectionne bien ton compte et decoche "les utilisateur doivent ......patatipatata.

Charles t'a peut etre oublié 1/Télécharge SmitfraudFix de S!Ri, sur ton bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe exécute Smitfraudfix.exe qui va aussi te creer un dossier jaune sur ton bureau nommé SmitfraudFix Dans le menu, sélectionne 1 Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. relance SmitfraudFix.cmd dans le dossier jaune Dans le menu, sélectionne 2 -- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Le fix déterminera si le fichier wininet.dll est infecté. -- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. -- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau. -- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 2/recommence ton scan avg antispyware car tu n'as pas entrepris la bonne action sur les infections découvertes 3/reboot normal , poste le rapport SmitfraudFix option2 avec le rapport avg AS et un nouveau rapport HijackThis.

via panneau de configuration|compte utilisateur|modifier la maniere ........ouvrent et ferment une session|decocher utiliser l'ecran d'acceuil ??

bah oui faut allow access , desactiver antivir temporairement le temps de passer l'outils

bah!! on maj pas si ça roule deja bien avec ce que tu as ;o)

Ton ecran de veille est *.scr , * etant le nom de ton ecran de veille. 1/Il suffit de rechercher son nom via "windows+F" avec comme recherche *.scr 2/une fois le nom trouvé , généralement en system32, clic droit sur ton bureau nouveau raccourci ------------- exemple avec ssbezier.scr ** http://img510.imageshack.us/img510/2386/13916491ji5.jpg ** http://img510.imageshack.us/img510/1807/71686138ob8.jpg **tu obtiens donc ton raccourci bureau pour lacer ton *.scr http://img159.imageshack.us/img159/7424/21720676nz6.jpg ---ça te va??

allhambra Il faut créer ton propre sujet avec ces rapports afin qu'un conseiller sécurité , pendant son temp libre, puisse te venir en aide, ici: http://forum.zebulon.fr/index.php?showforum=51

<br /><br /><br /> ------------------------------- nan mais c'est quoi ce delire que d'envoyer DL un tool sur le site d'un editeur eorezo [vecteur de pub] plutot que chez l'éditeur meme du logiciel !!! http://www.rarlab.com/ winrar reste du shareware.

voila comme dit ogu c'est là: http://forum.zebulon.fr/index.php?showtopi...;hl=metanucleon

Vu que charles ingals n'est pas là et en attendant son retour , tu vas temporairement faire ceci:: 1/relance HijackThis "do a system scan only" , coche uniquement la ligne ci dessous et clic fixchecked: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [yzcvudih] rundll32.exe "C:\Program Files\yzcvudih\odcnypel.dll",Init O4 - HKLM\..\Run: [rsvwfupm] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\rsvwfupm.dll" O4 - HKLM\..\Run: [fipmlulg] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\fipmlulg.dll" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: efcbywv - C:\WINDOWS\SYSTEM32\efcbywv.dll 2/lance vundoFix que tu as precedemment telechargé , clic droit dans sa fenetre "add more files" et copie la ligne ci dessous: C:\WINDOWS\SYSTEM32\efcbywv.dll *clic remove vundo 3/-Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe * Copie le texte ci-bas et RIEN D'AUTRE!!!(sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : * Double-clique sur OTMoveIt.exe afin de lancer le programme. * Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée * Fais un Clique-droit sur le cadre de gauche puis choisis Coller. * Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. **tu donnes ces rapports VundoFix+OT dans ta prochaine question pour charles ingals ------------------------- \o_ charles ingals ;o)

sous xp , pour desactiver le truc de l'heure invite de commande [executer--cmd] ça t'aide? Tout ceci correspondant à services.msc: http://img81.imageshack.us/img81/9164/sanstitrezk0.jpg