angelique

tu bosses bien , tu dois sentir la difference ! 1• desinstalle Combofix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u supprime alors c:\combofix restant ainsi que la quarantine d'antivir si tu l'as pas desinstallé , mais apparemment si , donc la quarantine d'antivir a aussi été supprimé. 2• Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTMoveIt3.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci dans la partie "Paste Instructions for Items to be Moved" comme indiqué sur la capture (en-dessous de la barre jaune) : :processes explorer.exe :files c:\windows\system32\khvgbw.dll c:\windows\system32\fxkwujjl.dll c:\windows\system32\yvobfvrx.dll c:\windows\system32\hsteui.dll c:\windows\system32\uysjnnpx.dll c:\windows\system32\qvjfxd.dll c:\windows\system32\thsgwtwm.tmp c:\windows\system32\qbcvkaer.dll c:\windows\system32\jlaior.dll c:\windows\system32\otanqfpd.dll c:\windows\system32\kwrspc.dll c:\windows\system32\ws59179.dll c:\windows\system32\syorkx.dll c:\windows\system32\iyebnffv.dll C:\Program Files\Trend Micro\HijackThis\backups :commands [start explorer] [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) * Ferme OTMoveIt3 (en cliquant sur Exit) Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter... 3 • Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe * Double clique sur le fichier téléchargé pour lancer le processus d'installation. * Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. * Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". * Sélectionne "Exécuter un examen rapide" * Clique sur "Rechercher" * L'analyse démarre, le scan est relativement long, c'est normal. * A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. * Ferme tes navigateurs. * Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. 4• Lance HijackThis , renommé par RSIT --> C:\Program Files\Trend Micro\HijackThis\Administrateur.exe | "do a system scan & save log scan " , poste le contenu du rapport qui s'ouvre

Verifie tes assocs avec: Télécharge DAFT : http://www.techsupportforum.com/sectools/Deckard/daft.exe [*]Sauvegarde-le sur ton bureau. [*]Double-clique sur l'icône de DAFT, présente sur ton bureau. [*]Clique sur le bouton scan. [*]Clic save Log et poste le contenu que tu as precedemment sauvegardé

une mauvaise association à reparer ? http://www.dougknox.com/xp/fileassoc/xp_regfile.zip

http://forum.zebulon.fr/infections-par-sup...36#entry1241836 http://forum.malekal.com/ftopic3350.php

en demandant à l'administrateur du PC

sympa ta Vid

• tu as 2 AV , Nod32 en guard et antivir , , faut en desinstaller 1 • ferme ton navigateur internet (tu enregistre la page d'explication donc , afin de pouvoir la consulter!!!) • relance HijackThis " do a system scan only" , coche uniquement et clic fixchecked les lignes ci dessous:: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: &Research - {037c7b8a-151a-49e6-baed-cc05fcb50328} - C:\WINDOWS\system32\winsrc.dll O2 - BHO: (no name) - {1627ded6-05e5-4e00-a1df-17e1c14d4490} - (no file) O2 - BHO: (no name) - {241b084d-d9e3-497f-af93-bc005e237f54} - (no file) O2 - BHO: (no name) - {81e96874-7d40-4663-a721-10970e470089} - C:\WINDOWS\system32\vifiride.dll O2 - BHO: {675f8aad-e7ab-be19-0174-22861958287d} - {d7828591-6822-4710-91eb-ba7edaa8f576} - (no file) O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [tawulasubo] Rundll32.exe "C:\WINDOWS\system32\gudeyose.dll",s O4 - HKLM\..\Run: [CPMafd83889] Rundll32.exe "c:\windows\system32\lifosiyo.dll",a O4 - HKCU\..\Run: [58640414966733361174395967329220] C:\Program Files\Antivirus 2009\av2009.exe O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\explorer32.exe" O20 - AppInit_DLLs: c:\windows\system32\makatulo.dll c:\windows\system32\nilokuke.dll C:\WINDOWS\system32\zomuhali.dll c:\windows\system32\lifosiyo.dll O20 - Winlogon Notify: efcBuRIB - efcBuRIB.dll (file missing) O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lifosiyo.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lifosiyo.dll ==> clic Fixchecked • Télécharge combofix.exe (par sUBs) ,renomme le par COlaF dans la fenetre de telechargement et sauvegarde le sur ton bureau ,Pas Ailleurs!!!!!!!!!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe Ne l'execute pas encore!!! » ComboFix doit absolument etre sur ton bureau ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Killall:: File:: C:\WINDOWS\system32\winsrc.dll C:\WINDOWS\system32\vifiride.dll C:\WINDOWS\system32\gudeyose.dll c:\windows\system32\lifosiyo.dll C:\WINDOWS\system32\explorer32.exe c:\windows\system32\makatulo.dll c:\windows\system32\nilokuke.dll C:\WINDOWS\system32\zomuhali.dll C:\WINDOWS\system32\winsrc.dll.tmp C:\WINDOWS\system32\ieupdates.exe C:\WINDOWS\system32\afavudub.ini C:\WINDOWS\system32\odubiwud.ini C:\WINDOWS\system32\eduteyog.ini C:\WINDOWS\system32\avodotot.ini C:\WINDOWS\system32\emepiyog.ini C:\WINDOWS\system32\wiixcevl.ini C:\WINDOWS\system32\yoyrdctu.ini C:\WINDOWS\system32\nkgqlqbr.ini C:\WINDOWS\system32\dbqaksqa.ini C:\WINDOWS\system32\hakaduki.dll C:\WINDOWS\system32\kutosiva.dll C:\WINDOWS\system32\daguroma.dll C:\WINDOWS\system32\zunubodu.dll Folder:: C:\Program Files\Antivirus 2009 Registry:: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "tawulasubo"=- "CPMafd83889"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "58640414966733361174395967329220"=- "ieupdate"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"=- "AppInit_DLLS"="" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcBuRIB] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• desinstalle LimeWire via ajout\supp de programmes, y'a pas pire pour choper des merdes!!!! • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Folder:: C:\Program Files\Kiwee Toolbar c:\documents and settings\All Users\Application Data\Kiwee Toolbar C:\ToolBar SD c:\documents and settings\ISO\Application Data\LimeWire c:\documents and settings\Administrateur\Application Data\LimeWire File:: C:\sqmdata16.sqm C:\sqmnoopt16.sqm C:\sqmdata15.sqm C:\sqmnoopt15.sqm c:\windows\system32\cwbuncob32.VIR000 c:\windows\system32\cwbuncob32.VIR Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Program Files\\LimeWire\\LimeWire.exe"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • Redémarre en mode Sans Échec avec prise en charge reseau: au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec avec prise en charge reseau" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. » assure toi qu'antivir est correctement configuré en consultant cette Video , les cases doivent etre cochées comme ça!: http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi » met le à jour et effectue un scan complet de tes disques , tu conserves\enregistre sous le rapport afin de le retrouver en mode normal. » desinstalles antivir » reboot ton pc en mode normal , poste le rapport obtenu de CFScript sur ComboFix + le rapport antivir • Contacte ta hierarchie pour qu'il te permette d'updater le Firewall\antivirus Symantec

Bande de coquins .. va!

heu!!! ========== FILES ========== File/*nom_du_fichier* not found. c'est sur que si tu mets *nom_du_fichier* sous :files et pas le chemin , ça risque pas de fonctionner lol

'soir Falkra , on dirait pas les memes pc 1/ le pc de sa cop :: http://forum.zebulon.fr/pc-super-lent-infecte-t156904.html 2/ http://forum.zebulon.fr/internet-lent-dut-...te-t156924.html services + av ne correspondant pas dans les 2 sujets, donc je dirais non , pas doublon lol mais par contre celui ci est la suite d'ici : http://forum.zebulon.fr/internet-lent-dut-...te-t156924.html

Toolbar S&D n'a pas pu en supprimer certains , c'est pas grave continue avec CFScript sur ComboFix , on les jartera apres.

Tu as deja toutes les infos , passe l'option 2 de Toolbar S&D (poste le rapport), puis réalise le fichier txt CFScript comme expliqué et fait le glisser sur l'icone de ComboFix sur ton bureau (poste le rapport)

c'est ok , supprime C:\JavaRa.log , puis utilise l'onglet "editer" sous ton 1er message et ajoute [resolu] dans le titre.

Continue! si tu veux desactiver\virer symantec , va falloir le mot de passe

Met à jour ta console javasun! pour eviter la Toolbar consulte le tuto: http://www.libellules.ch/dotclear/index.ph.../13/2689-javara Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. http://switch.dl.sourceforge.net/sourcefor...vara/JavaRa.zip http://raproducts.org/click/click.php?id=1 * Décompresse le fichier sur le bureau (clic droit > Extraire tout) * Double-cliquer sur le répertoire JavaRa. * Puis double-cliquer sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) * Clique sur Search For Updates. * Sélectionner Update Using jucheck.exe puis cliquer sur Search. * Autorise le processus à se connecter s'il le demande, cliquer sur Install et suivre les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, revenez à l'écran de JavaRa et clique sur Remove Older Versions. * Clique sur Oui pour confirmer. Laisse travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok. * Un rapport va s'ouvrir à copier-coller dans la prochaine réponse. * Fermer l'application Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log . Reposte un log Hijackthis avec le rapport de JavaRa

• assure toi qu'antivir est correctement configuré, la cases doivent etre cochées comme sur la Vid que tu consulteras: http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi » fait un scan complet de ton disk et poste le rapport

tu continues le point 1 et 2 , tu postes les rapports ! garde antivir pour le moment avec le guard inactif, on s'en servira plus tard , faudra que tu vois avec tes chefs pour symantec !!! pour un pc d'entreprise , de telles infections c'est gravos /!\

•pas grand chose , desinstalle FindyKill et supp. son dossier restant %programfiles%\FindyKill • assure toi qu'antivir est correctement configuré, la cases doivent etre cochées comme sur la Vid que tu consulteras: http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi » fait un scan complet de ton disk et poste le rapport

bah !! c'est vraiement pourri , t'as du symantec norton antivirus qui roule et antivir que tu as desactivé le lancement automatique!! faut faire un choix!!!!! si tu desinstalles Symantec avec: http://service1.symantec.com/SUPPORT/INTER...050414110429924 assure toi que le firewall d'xp est activé, dans panneau de configuration\onglet parefeu 1• Télécharge ToolBar-S&D de Eric_71, Angeldark, Sham_Rock et XmichouX http://eric.71.mespages.googlepages.com/ToolBarSD.exe tu passes l'option 1 puis 2 tuto:: http://toolbarsd.googlepages.com/aideenimages tu postes les rapports! 2• relance HijackThis " do a system scan only" , coche uniquement et clic Fixcheked les lignes ci dessous:: O2 - BHO: (no name) - {1EEBF144-58E5-445A-AEEC-93057287226E} - C:\WINDOWS\system32\rqRLcCtT.dll (file missing) O2 - BHO: D - {78F8464D-A6F2-3F0D-A87F-A53A5F10D092} - C:\WINDOWS\system32\mws59179.dll O2 - BHO: (no name) - {9E9CCC69-4FF5-405E-A22F-99BC702ED5A1} - C:\WINDOWS\system32\pmnkHXPg.dll (file missing) O2 - BHO: Browser Helper Objects - {CBE202A6-3B75-4189-B161-9B4DF370BEE9} - C:\DOCUME~1\ADMINI~1\APPLIC~1\shellex.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKCU\..\Run: [ucmmc] "c:\documents and settings\administrateur\local settings\application data\ucmmc.exe" ucmmc O20 - AppInit_DLLs: ,C:\WINDOWS\System32\cwbuncob32.dll,C:\WINDOWS\System32\cwbuncob32.dll O20 - Winlogon Notify: f83805cd509 - C:\WINDOWS\System32\cwbuncob32.dll O20 - Winlogon Notify: rqRLcCtT - rqRLcCtT.dll (file missing) ==> clic Fixchecked 3• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau , pas ailleurs!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe *ne le lance pas maintenant! » ComboFix doit absolument etre sur ton bureau ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\System32\cwbuncob32.dll C:\WINDOWS\system32\mws59179.dll C:\WINDOWS\system32\xorpbhdh.ini C:\WINDOWS\system32\srtiwpuv.dll C:\WINDOWS\system32\bmehrfha.ini C:\WINDOWS\system32\comrmmio.ini C:\WINDOWS\system32\ghofhnwk.ini C:\WINDOWS\system32\iaumfphf.ini C:\WINDOWS\cdplayer.ini C:\WINDOWS\system32\iycmxbjp.ini C:\WINDOWS\system32\lcpjckek.ini C:\WINDOWS\system32\auflynmf.ini C:\WINDOWS\system32\otxldgwm.ini C:\WINDOWS\system32\gPXHknmp.ini2 C:\WINDOWS\system32\gPXHknmp.ini C:\WINDOWS\system32\38A.tmp C:\WINDOWS\system32\cwbuncob32.dll C:\WINDOWS\system32\wcxdtkje.dll C:\WINDOWS\system32\nlmyos.dll Folder:: C:\WINDOWS\system32\pmnkHXPg registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1EEBF144-58E5-445A-AEEC-93057287226E}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F8464D-A6F2-3F0D-A87F-A53A5F10D092}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\f83805cd509] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\messengerskinner] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spy Protector] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"=- "AppInit_DLLS"="" [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

oui

• désactiver TeaTimer de Spybot-S&D (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer • tu utilises aswclear pour virer avast stp! http://www.avast.com/fre/avast-uninstall-utility.html • Télécharge combofix.exe (par sUBs) ,renomme le par COlaF dans la fenetre de telechargement et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe * Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.La console de recuperation est proposée à ton choix à etre installée! * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

1• désactiver TeaTimer de Spybot-S&D (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer 2• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\face2feace.exe C:\aok.exe C:\nfd.exe C:\osy.exe c:\windows\system32\svscs.exe Dirlook:: C:\CONFIG Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nl2plwrk"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nl2plwrk"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

salut Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). -------------------------

de rien , un plaisir \o/