angelique

t'avais pas à installer de logs d'EoEngine_Eorezo , on reflechit avant , on clic apres , et on lit les CluFF http://portail.securite-academie.fr/plugin...st%20et%20eo.st

Hum!! quelqu'un m'a modéré .....ç'est pas vrai ???Modo , dénonçe toi /!\

t'as quoi comme message exact sur ton ecran noir au boot?ça doit etre une histoire de boot.ini à reconstruire?? http://forum.zebulon.fr/bootini-non-valide...904#entry846904

fait FIXMBR en console de recup

coche la case entourée en jaune , masquer les extentions patati..patata: http://www.commentcamarche.net/faq/sujet-8...es-sous-windows et supprime: C:\ _OTMoveIt

• insere ta clé usb , la lettre L: lui correspondant comme tu dis telecharge sur ton bureau visu.bat , double clic dessus , copie_colle dans ta prochaine reponse le contenu du fichier texte qui s'affiche, ferme le fichier texte , appuie sur une touche quelconque comme demandé dans la fenetre d'invite de commande pour la fermer. http://senduit.com/7cdcc7 <--- visu.bat

ça semble être un reste de Vundo registre non nettoyé! oublie le balourd de néro pour graver:: http://www.libellules.ch/dotclear/index.ph...11/05/2231-gdrp http://forum.zebulon.fr/procedure-de-deman...ge-t138211.html

http://forum.zebulon.fr/reactualiser-les-i...ws-t101603.html

ça pour la réinitialiser: http://forum.zebulon.fr/supprimer-les-elem...on-t157463.html remasque ensuite tes extentions

• hum!! le driver a pas sauté : S2 ITGrdEngine;Guard Service, j'ai pas indiqué le bon nom ouvre une invite de commande , tape dans executer---> cmd valide tape en respectant les espaces et en vlidant chacune des lignes par enter: sc stop Guard Service sc delete Guard Service exit • avg n'a trouvé que des points de restauration systeme et la quarantine de ComboFix , on va resoudre ça apres avec "Finir le nettoyage" • • pour voir si existant c:\windows\$hf_mig$\KB899591\update\ororbyor.exe il faut: Ouvrir le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. le vois tu c:\windows\$hf_mig$\KB899591\update\ororbyor.exe ?? si oui ça serait bien , upload le où j'ai dis. • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime son dossier restant ensuite c:\combofix , c:\COlaF tu ne dois plus avoir de detection ??

http://forum.malekal.com/viewtopic.php?f=5...=147667#p147667

1/ c'est quoi la lettre attribuée à ta clé usb dans le poste de travail ??? 2/ comment desactiver correctement sous xp pro chez toi: executer---> gpedit.msc et fait comme sur la capture: http://imagesup.org/images/1239295664-gpedit.jpg

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: ITGrdEngine File:: c:\documents and settings\JPR\Local Settings\Application Data\Microsoft\Windows\services.exe SkipFix:: [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • rend toi sur ce site : http://upload.malekal.com/ et upload le fichier en gras souligné: c:\windows\$hf_mig$\KB899591\update\ororbyor.exe comment faire:: http://www.malekal.com/tuto_upload_fichiers.php • Fait un scan de tes disks avec avg à jour , l'antivirus que tu as et poste le rapport d'analyse, ignore la detection sur ComboFix • reposte avec un nouveau rapport hijackThis

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: c:\windows\9g2234wesdf3dfgjf23 c:\windows\t55ft2829f44.dat Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run] "ororbyor"=- SkipFix:: [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt •Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : c:\windows\$hf_mig$\KB899591\update\ororbyor.exe Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

t'as du chopper ces merdes sur facebook ou myspace.... HijackThis est mal plaçé! • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" . Puis clique sur "Do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked: O4 - HKLM\..\Run: [pp] C:\windows\pp06.exe O4 - HKCU\..\Run: [Microsoft Windows logon process] C:\Documents and Settings\JPR\Application Data\Microsoft\Windows\winlogon.exe O4 - HKCU\..\Run: [internet Antivirus Pro] "c:\program files\Internet Antivirus Pro\IAPro.exe" /s O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) ==> clic Fixchecked • (¯`·._.·[ ..... ]·._.·´¯) » Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://imagesup.org/images/1238940640-cfdl.jpg http://imagesup.org/images/1238940687-cfren.jpg Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ * Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix: http://www.bleepingcomputer.com/combofix/f...iliser-combofix (¯`·._.·[ ..... ]·._.·´¯)

bon explorer.exe a l'air ok du coup son checksum md5 est ok: f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\system32\nevimh.dll <-- j'avais demandé sa suppression avec le CFScript et effectivement elle n'etait pas apparue dans le rapport , tu l'as quarantine , elle ne revient plus??? • quanrantine la detection de MBAM • fait un scan avec antivir et poste le rapport de scan , ignore la detection sur ComboFix:

ouai tu posteras le rapport Gmer+ l'analyse explorer.exe (pas normal qu'il soit Hidden!p't'etre un gros vilain, c'est marrant \o/), merci Mais par contre je ne m'occupe de ce pc , 1 pc / sujet | Merci

Mouai ça sert à rien http://forum.malekal.com/viewtopic.php?f=45&t=15059 http://www.all-nettools.com/toolbox/anonymous-surfing.php

attend avant de scan avec antivir car ci dessous c'est pas normal lol: ne fait rien sur explorer.exe si antivir couine dessus •Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : c:\windows\explorer.exe Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799 • Télécharge Gmer sur ce lien http://www.gmer.net/gmer.zip Déconnecte toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer. Clic sur l'onglet "rootkit" A droite, coche toutes les cases Clic sur Scan Lorsque le scan est terminé, clique sur "copy" Ouvre le bloc-note et clique sur le Menu Edition / Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

ça t'aiderait? http://www.editions-profil.eu/support/BD10.aspx l'histoire de l'ID à l'envers??

essaie ça: ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: uxturvzrp NetSvc:: uxturvzrp Rootkit:: c:\windows\system32\nevimh.dll Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uxturvzrp] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tu sais pas quoi , tu me recharge ComboFix lol • ¯`·._.·[ ..... ]·._.·´¯) » Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://imagesup.org/images/1238940640-cfdl.jpg http://imagesup.org/images/1238940687-cfren.jpg Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: kjmqrfrc File:: c:\windows\system32\drivers\kjmqrfrc.sys C:\WINDOWS\system32\cnetcf.dll Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000FA9D3-68FB-426A-9565-D0843AA55322}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu avec un nouveau rapport Hijackthis * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt (¯`·._.·[ ..... ]·._.·´¯)

de rien , Bye \o_ ... utilise l'onglet "editer" sous ton 1er message pour y ajouter [resolu] dans le titre.

Je m'en doute • supprime C:\WINDOWS\system32\gaopdxcounter • tu pourras poster le scan de MBAM si t'as envie • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

• telecharge zozo.bat sur ton bureau: http://senduit.com/925933 double clic dessus , ton pc va redemarrer , reposte un nouveau rapport Gmer comme le 1er