angelique

Comment tu fais pour te faire infecter sur un pc formaté , tes symptomes sont tout à fait ceux d'une infection meme si rien n'est mis en évidence dans le rapport HijackThis. • telecharge sur ton bureau Drv32Look.exe , double clic dessus et poste le contenu du rapport TXT qui s'affiche: http://senduit.com/29747c • Télécharge Gmer http://www.gmer.net/gmer.zip Déconnecte toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer. Clic sur l'onglet "rootkit" A droite, laisse tout coché Clic sur Scan Lorsque le scan est terminé, clique sur "copy" Ouvre le bloc-note et clique sur le Menu Edition / Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse. renouvelle l'opération mais avant de le lançer clic droit dans la fenetre\option\coche Only non MS Files , clic scan et idem que precedemment , poste le rapport. http://imagesup.org/images/1239086511-onlynonmsfiles.jpg

RegCleaner est l'ancien outils plus à jour de ftp://zebulon.fr/jv16pt_setup1.3.0.195.exe , le dernier gratuit là!

c'est plus dur de repondre quand c'est closed

Faut attendre le retour de la Team avira , mais ça sent bien le FP Bye \o_

'jour Apollo Voir---> http://forum.malekal.com/viewtopic.php?p=1...b4ec306#p148296

Pas de bonjour, aucun effort de redaction, aucun rapports , aucune info sur l'infection...... Sujet fermé. Merci de bien vouloir consulter la charte du forum.

c'est pas parceque tu Fixchecked les lignes que le programme est supprimé , ça empeche juste qu'ils ne se lancent au demarrage. J'édite alors ton sujet comme [resolu] Bye \o_

et si tu Fixchecked avec HijackThis uniquement les lignes ci dessous: O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [sharpTray] "C:\Program Files\Sharp\Sharpdesk\SharpTray.exe" O4 - HKLM\..\Run: [FtpServer.exe] "C:\Program Files\Sharp\Sharpdesk\FtpServer.exe" -usedefault O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Damien\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c c'est plus rapide?

F:\filtrenouveau.zip [0] Type d'archive: ZIP --> superbladepro/keygen.rar [1] Type d'archive: RAR --> keygen.exe [RESULTAT] Contient le cheval de Troie TR/Packed.1753 --> superbladepro/sbpsetup150.zip [1] Type d'archive: ZIP --> keygen.rar [2] Type d'archive: RAR --> keygen.exe [RESULTAT] Contient le cheval de Troie TR/Packed.1753 Moaui c'est pas une histoire d'antivirus , certes antivir est un bon produit mais imagine que tes cracks et keygens ne soient pas dans ses definitions , bah tu te feras pourrir , c'est plus une histoire de comportement et te dire que telecharger des keygens,cracks & co pour faire fonctionner des programmes payants, c'est pas gratuit

Le rapport est propre , il est si long que ça ton demarrage??

reposte moi un nouveau rapport HijackThis

Utilise une application legere comme GDRP pour réaliser tes gravures: http://www.libellules.ch/dotclear/index.ph...11/05/2231-gdrp http://volvox.wordpress.com/2006/10/25/log...donnees-backup/

**Dernier point par contre, je trouve que mon PC est assez long au moment de me logguer lorsque l'ordi affiche "chargement de vos paramètres personnels". » c'est la case prefetch d'atfcleaner qui te vide %windir%\Prefetch , et qui ralenti le prochain redemarrage , tu peux decocher prefetch dans tes utilisations Future d'atfcleaner

qu'est ce que tu veux qu'il lise si y'a rien dessus

**Pour ce qui est de du nettoyage de firefox j'utilise régulièrement CCleaner, est ce un bon outil ? pas entendu de mal de CCleaner , ATFCleaner est une application en complement si tu veux qui nettoie toutes les sessions. **De la même manière, est ce que je dois continuer à utiliser les logiciels que je t'ai cité plus avant, sachant que je les ai installé après avoir été infecté. Tu les gardes pour effectuer des scans reguliers Ton probleme doit etre resolu.

Tout à fait., Rootkit gaopdx* et ses copains • • Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTMoveIt3.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd9da4ca-266e-11dd-a2d2-001aa0cc6e1c}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify] "IconStreams"=- "PastIconsStream"=- :commands [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage. * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) » remasque les extentions de tes fichiers • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u et supprime apres sa desinstallation c:\COlaF ainsi que C:\ _OTMoveIt Ton probleme doit etre resolu.

'soir j'espere etre plus maline que ton "petit malin qui croit savoir bidouiller" » Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF ,et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ * Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix

essaie ça dans executer et valide : "%userprofile%\Desktop\combofix.exe" /u sinon si ça marche pas, Tu supprimes à la main alors : c:\qoobox c:\combofix et le fichier sur ton bureau

Je t'ai deja tout dis

tres bien , pas grand chose , tu peux vider la quarantine d'antivir ainsi que celle de MBAM • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u puis supprime son dossier restant c:\combofix , c:\COlaF , C:\Program Files\trend micro\backups et normalement c'est ok , tu pourras utiliser l'onglet "editer" sous ton 1er message et ajouter[resolu] dans le titre . Bye \o_

celui de windows ?? executer---> wordpad http://fr.wikipedia.org/wiki/Wordpad

• relance HijackThis "do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked:: O2 - BHO: DWABrowserHlprObj Class - {2709D830-B643-4e72-9A1E-701CFFFCF30C} - C:\WINDOWS\system32\dwabho.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) ==> clic Fixchecked • tu peux réactiver le guard d'antivir et effectuer un scan complet de ton system et poster le rapport tu ignores ComboFix à la détection et tu quarantine le reste. • tu te rajoutes un antimalware MBAM pour effectuer un scan rapide, tu quarantine les detections (tu ne supprimes pas la quarantine avant que je te le dises. Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe * Double clique sur le fichier téléchargé pour lancer le processus d'installation. * Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. * Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". * Sélectionne "Exécuter un examen rapide" * Clique sur "Rechercher" * L'analyse démarre, le scan est relativement long, c'est normal. * A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. * Ferme tes navigateurs. * Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. tuto:: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php Par politesse , tu spécifies sur l'autre forum que tu es deja aidé!!!!! http://www.commentcamarche.net/forum/affic...bakafe-help-svp

just pour info au cas ou! http://www.malekal.com/tutorial_SpamPal.php

Hum!!t'as du bouiner un truc ; on le fait comme ça , desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide là: ComboFix /u supp c:\COlaF recharge ComboFix non renommé sur mon 1er message sur ton bureau et execute directement mon message #6: http://forum.zebulon.fr/mikolobedll-bakafe...85#entry1366885

Heu! tu l'as deja sur ton bureau COlaF.exe Oo : c:\documents and settings\Jean-Sebastien\Desktop\COlaF.exe passe le CFScript dessus comme les fois précedentes, tu as tres bien réussi jusque là et poste le rapport avec un nouveau d'HijackThis