angelique

bah y'a le tutoriel avec , avec "browse", tu navigues jusqu'à c:\qoobox\quarantine > [4]-Submit_Date_Time.zip , et tu clic envoyer le fichier.Faut le faire avant de desinstaller ComboFix comme expliqué apres sinon on perd le zip.Merci ;o) • sinon c'est ok Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime ensuite c:\combofix

M:\ est un support usb?? • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" . Puis clique sur "Do a system scan and save a logfile" fais un copier-coller du rapport Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ferme HijackThis • Télécharge UsbFix (de Chiquitine29) sur ton Bureau : http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe --> Lance l'installation avec les paramètres par défaut. --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. --> Double-clique sur le raccourci UsbFix sur ton Bureau. --> lance "rechercher" poste le rapport UsbFix.txt Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

lol KewlCat Microsoft Windows XP [version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\angelique>rmdir /? Supprime un répertoire. RMDIR [/S] [/Q] [lecteur:]chemin RD [/S] [/Q] [lecteur:]chemin /S Supprime tous les répertoires et les fichiers dans le répertoire spécifié en plus du répertoire lui-même. Utilisé pour supprimer une arborescence. /Q Mode silencieux, ne demande pas de confirmation pour supprimer une arborescence de répertoires avec /S. oui je sais NT et toi ça doit faire 3 ...

registry Cleaner truc c'est de la merde. ------------- tu as eu raison , mais mes liens n'amene pas sur ce genre de merdasse /!\ j'ai pas spécifié de souto ..... truc ...tssss! » arrette l'execution auto de tes support sur ton XP pro via executer--> gpedit.msc comme sur la capt et tu appliques: http://imagesup.org/images/1240592506-gpedit.jpg » faut passer l'option "nettoyage" d'USBFix et poster le rapport. • tous tes supports USB branché tu fais ensuite: (¯`·._.·[~~~~]·._.·´¯) » Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://imagesup.org/images/1238940640-cfdl.jpg http://imagesup.org/images/1240127722-cfsave.jpg Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ * Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix: http://www.bleepingcomputer.com/combofix/f...iliser-combofix (¯`·._.·[~~~~]·._.·´¯)

t'as essayé javara ? http://www.libellules.ch/dotclear/index.ph.../13/2689-javara http://freefr.dl.sourceforge.net/sourcefor...vara/JavaRa.zip tu commences par : JavaRa et clique sur Remove Older Versions. * Clique sur Oui pour confirmer. Laisse travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok. tu desinstalles si restantvia ajout\supp de programmes ce que tu vois de java_truc puis tu installes la derniere? http://java.sun.com/javase/downloads/index.jsp

VOLVOX KEYLOGGER, constitué des fichiers: VolvoxKEYLOG.EXE (programme principal) et HooK_DLL.dll (DLL chargèe de la surveillance des touches au niveau système) ========================= octobre 2007. version 1.0 Ce logiciel retranscrit dans un document texte toute frappe au clavier et indique sa provenance en identifiant la date et l'heure, le processus et le nom de la fenêtre de l'application utilisée (Iexpert, Word, programme chat, iexplorer, firefox etc.). Normalement on utilise ce programme à l'insu de l'usager, en cachant l'application (mode Caché) et préférablement en le lançant automatiquement au démarrage (mode Autodémarré caché). Usage: SIMPLE: ============== [ Lancer ] Pour lancer l'application, début de la transcription des touches dans le log. [Cacher] Appuyez sur ce bouton pour cacher l'application, la rendre invisible aux utilisateurs (Simplement rabattre l'application sur la barre des tâches ne la rend pas invisible.). Note: Le sachant ou connaissant le nom de l'application, il est toujours possible pour un utilisateur averti de la supprimer dans le gestionnaire des tâches (Ctrl-Alt-Del). Mais très peu d'utilisateurs prennent la peine d'aller voir ces processus en cours. ASTUCE : Une façon toute simple pour ne pas attirer l'attention de l'utilisateur lorsqu'il consulte la liste des tâches (Ctrl-Alt-Del) est de renommer l'exécutable. Par exemple, renommer 'volvoxkeylog.exe' -> 'mxsound.exe'. Ainsi on verra ce nom dans la liste des tâches sans se douter qu'il s'agit d'un logiciel espion. Ce même nom apparaîtra dans la liste de démarrage de 'MsConfig' si l'option 'Autodémarrer' du keylogger est activée. Le camouflage sera encore mieux réussi si l'on place l'ensemble des fichiers du logiciel dans un répertoire apparenté au système d'exploitation en évitant tout nom en rapport avec keylogger, par exemple 'c:\windows\mxsoundsystem\'. [Voir le log] Pour lire le document de surveillance. (Aussi lisible avec Notepad etc.) [Effacer le log] Supprime le log. Un nouveau document sera créé automatiquement au lancement de l'application. [Réinitialiser les réglages] Ramène les valeurs initiales. [Autodémarrer caché] Lancer l'application automatiquement en mode caché au démarrage de Windows. Une clé de démarrage est alors ajoutée à la position HKEY_LOCAL_MACHINE du registre. ================ IMPORTANT: La librairie HooK_DLL.dll incluse doit être localisée dans le même dossier que le programme. C'est cette librairie qui a pour tâche d'espionner le clavier. ================

• tu as volontairement installer le keylogger de volvox: http://volvox.wordpress.com/2007/10/26/log...hes-du-clavier/ • desinstalle Eoengine truc via ajout\suppression de programmes • relance hijackThis "do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked:: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [NMB] "C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\QZTEMP\VOLVOXKEYLOG.exe" "Ghost" ==> clic Fixchecked • •Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau. Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe * Double-click SystemLook.exe pour le lançer. * Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: :filefind *volvox* :folderfind *volvox* * Click le bouton Look pour commencer le scan. * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt • reposte avec un nouveau rapport HijackThis

t'as pas compris charley allez hop!! closed , tu posteras plus là au moins!

Au mieux c'est d'utiliser l'application ATFCleaner non?? AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 http://www.oxygenepc.com/forum/tuto-atf-cl...isque-t284.html

del /q /f /s /a "%userprofile%\Local Settings\Temp\*.*" <----- sa marche pas heu!! il te dit quoi?? le navigateur est lançé donc normal: Microsoft Windows XP [version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\angelique>del /q /f /s /a "%userprofile%\local settings\t emp\*.*" C:\Documents and Settings\angelique\local settings\temp\etilqs_PvLRoTpFhIBNI7hf0awX Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un au tre processus. C:\Documents and Settings\angelique\local settings\temp\nsf2.tmp Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un au tre processus. C:\Documents and Settings\angelique\local settings\temp\Perflib_Perfdata_114.dat Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un au tre processus. C:\Documents and Settings\angelique\local settings\temp\~DF7E8B.tmp Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un au tre processus. Fichier supprimé - C:\Documents and Settings\angelique\local settings\temp\Cookies\ index.dat Fichier supprimé - C:\Documents and Settings\angelique\local settings\temp\Historiq ue\History.IE5\index.dat C:\Documents and Settings\angelique\local settings\temp\nsp3.tmp\newadvsplash.dll Accès refusé. C:\Documents and Settings\angelique\local settings\temp\nsp3.tmp\registry.dll Accès refusé. C:\Documents and Settings\angelique\local settings\temp\nsp3.tmp\System.dll Accès refusé. Fichier supprimé - C:\Documents and Settings\angelique\local settings\temp\Temporar y Internet Files\Content.IE5\index.dat C:\Documents and Settings\angelique> --------------------- del /q /f /s /a "%userprofile%\Local Settings\Temporary Internet Files\*.*"<---- sa marche mais il me reste des dossiers cachés vides dans un dossier cache bah tu rajoutes le nom du dossier , une ligne en plus del /q /f /s /a "%userprofile%\Local Settings\Temporary Internet Files\nom_du_dossier\*.*" rmdir /s "%userprofile%\Local Settings\Temporary Internet Files\nom_du_dossier"

autant pour moi, n'importe quoi , j'ai pas mis les "" @echo ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» @echo º!!!Suppression!!!º @echo ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ pause del /q /f /s /a "%userprofile%\Cookies\*.*" del /q /f /s /a "%userprofile%\Local Settings\Historique\*.*" del /q /f /s /a "%userprofile%\Local Settings\Temp\*.*" del /q /f /s /a "%userprofile%\Local Settings\Temporary Internet Files\*.*" pause exit

un fichier .bat comme ça ? @echo ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» @echo º!!!Suppression!!!º @echo ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ pause del /q /f "%userprofile%\Cookies\*.* del /q /f "%userprofile%\Local Settings\Historique\*.* del /q /f "%userprofile%\Local Settings\Temp\*.* del /q /f "%userprofile%\Local Settings\Temporary Internet Files\*.* exit

Google--> http://diggi.services.online.fr/articles.p...g=fr&pg=250

Tu sais pas quoi! si tu boots sur aucun des 3 , tu recuperes tes données avec une kaella par exemple: http://www.malekal.com/RecuperationDonnees.php Tu départitionnes , repartionnes , Formate ton Disk et tu te fais une reinstallation propre de ton systeme: http://www.vulgarisation-informatique.com/...-windows-xp.php http://www.astucesinternet.com/modules/new...php?storyid=147

bah ton truc est tout pourri , y'a eu certainement 2 reinstallations par dessus , n'importe comment de ton windows , et les entrées des anciens xp restent dans le boot.ini. http://infomars.fr/forum/index.php?showtopic=33

Il te manque la ligne de demarrage en O4 d'antivir • telecharge Antivir_Systray.reg:: http://senduit.com/11d898 » double clic dessus et accepte la fusion au registre • ton soucis de fichier douteux doit etre resolu Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

répare ton boot.ini en console de recuperation:: démarrez l'ordinateur à partir du CD-ROM Windows XP, démarrez la Console de récupération, puis utilisez l'outil Bootcfg.exe pour régénérer le fichier Boot.ini. Pour cela, procédez comme suit : 1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM. 2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur. 3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP. 4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération. 5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération. 6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE. 7. À l'invite de commandes, tapez bootcfg /list, puis appuyez sur ENTRÉE. Les entrées dans votre fichier Boot.ini actuel s'affichent à l'écran. 8. À l'invite de commandes, tapez bootcfg /rebuild, puis appuyez sur ENTRÉE. Cette commande recherche sur les disques durs de l'ordinateur des installations de Windows XP, Microsoft Windows 2000 ou Microsoft Windows NT, puis affiche les résultats. Suivez les instructions qui s'affichent à l'écran pour ajouter les installations de Windows au fichier Boot.ini. Par exemple, suivez ces étapes pour ajouter une installation Windows XP au fichier Boot.ini : a. Lorsqu'un message semblable à celui-ci s'affiche, appuyez sur Y : Nombre d'installations de Windows reconnues : 1 [1] C:\Windows Ajouter l'installation à la liste des options de démarrage ? (Oui/Non/Tout) b. Un message semblable au suivant s'affiche : Entrez l'identificateur de chargement C'est le nom du système d'exploitation. Lorsque ce message s'affiche, tapez le nom de votre système d'exploitation, puis appuyez sur ENTRÉE. Il s'agit de Microsoft Windows XP Professionnel ou de Microsoft Windows XP Édition familiale. c. Le système affiche un message semblable au suivant : Entrez les options de chargement du système d'exploitation Lorsque ce message s'affiche, tapez /fastdetect, puis appuyez sur ENTRÉE. Remarque Les instructions qui s'affichent sur votre écran peuvent être différentes selon la configuration de votre ordinateur. 9. Tapez exit, puis appuyez sur ENTRÉE pour quitter la console de récupération. Votre ordinateur redémarre et la liste de démarrages mise à jour s'affiche lorsque le message "Choisissez le système d'exploitation à démarrer" s'affiche.

et oh charley , t'es pas sur MSN !!!!

c'etait peut etre ça : http://www.sophos.com/security/analyses/vi...ojbckdrqmr.html

Huhu .... sujet fermé pour une raison que je ne dévoile Sujet fermé. Merci de bien vouloir consulter la charte du forum.

wouaouu facks , t'as compris la question??et bien pas moi

en bootant sur ton cd d'xp , allez en console de recuperation et taper chaque ligne et valider: expand*D:\i386\driver.cab*-F:hal.dll*c:\windows\system32\ exit ps : tape un espace à la place de * et remplace D: par la lettre qui correspond à ton lecteur cd qui contient le cd d'xp

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: KJMQRFRC File:: c:\windows\system32\drivers\fntjsiih.sys c:\windows\Internet Logs\xDB8.tmp c:\windows\Internet Logs\xDB9.tmp c:\windows\Internet Logs\xDB7.tmp c:\windows\Internet Logs\xDB6.tmp c:\windows\Internet Logs\xDB4.tmp c:\windows\Internet Logs\xDB5.tmp c:\windows\Internet Logs\xDB3.tmp Collect:: c:\windows\system32\tnvcyftpiyhfmcgu.exe Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000000 [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt » - Un fichier zippé sera créé c:\qoobox\quarantine > [4]-Submit_Date_Time.zip que tu enverras\upload à cette adresse: http://upload.malekal.com/ tuto:: http://www.malekal.com/tuto_upload_fichiers.php • tu fais un scan de ton systeme avec antivir et tu postes le rapport en fin d'analyse , tu ignores bien sur la détection sur ComboFix

oui mais il a antivir apparemment! non?? SomeOne O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe ------------------------------------ • desinstalle navilog1 via ajout\suppression de programmes et supprime son dossier restant en %programfiles%\navilog1 • telecharge mslook.bat sur ton bureau http://senduit.com/47b88c , double clic dessus et poste le contenu du rapport TXT qui s'affiche avec un nouveau rapport HijackThis.

et le rapport option2 de navilog1 il est en option! ton rapport HJT est bien court pour un newbee , ça pue