angelique

tapottes F8 au boot du pc et choisi bonne configuration connue !! ça reboot?

Mouai , patiente encore 20 mn , si idem tu resets, tu me postes un rapport HJT ainsi que: Télécharge Gmer sur ce lien http://www.gmer.net/gmer.zip Déconnecte toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer. Clic sur l'onglet "rootkit" A droite, coche toutes les cases Clic sur Scan Lorsque le scan est terminé, clique sur "copy" Ouvre le bloc-note et clique sur le Menu Edition / Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

il en est où?

supprime\desinstalle ce que tu as en relation avec EOrezo, et execute ST_FIX : http://portail.securite-academie.fr/plugin...st%20et%20eo.st

oui excuse moi , j'ai edité le lien dans mon message precedent , cependant sur le site de malekal , y'avait un autre lien ^^(que tu as trouvé ;o)),

t'essaieras ça en renommant le setup avant installation et le raccourci crée sur le bureau: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe * Double clique sur le fichier téléchargé pour lancer le processus d'installation. * Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. * Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". * Sélectionne "Exécuter un examen rapide" * Clique sur "Rechercher" * L'analyse démarre, le scan est relativement long, c'est normal. * A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. * Ferme tes navigateurs. * Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. le setup de fichier de definition pour mettre à jour manuellement si l'access aux Mises à Jour est impossible. http://www.gt500.org/malwarebytes/mbam-rules.exe

sur le compte infecté en mode sans echec!

ça doit etre le RK pe386 , c'est vieux! http://www.malekal.com/Rootkit_pe386.php • Télécharge ce fichier (par ejvindh) http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe ...et sauvegarde-le sur ton Bureau. Double clique rustbfix.exe afin de lancer l'outil. Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement. Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt). Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse. • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" . Puis clique sur "Do a system scan and save a logfile" fais un copier-coller du rapport Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ferme HijackThis ------------------------------------------

• copie_colle dans executer et valide la ligne ci dessous: ComboFix /u • telecharge ComboFix renommé sur ton bureau COlaF là: http://senduit.com/eda7d5 Télécharge SmitfraudFix de S!Ri http://siri.urz.free.fr/Fix/SmitfraudFix.php http://siri.urz.free.fr/Fix/SmitfraudFix.exe Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel infecté, et non Administrateur. • exécute SmitFraudFix un dossier de meme nom est crée sur ton bureau Dans le menu, sélectionne 2 , sauvegarde le rapport pour le poster dans ton prochain message • Pour lancer COlaF , tu copies_colles la ligne ci dessous dans executer et tu valides: "%userprofile%\Bureau\combofix.exe" /Killall poste le rapport ComboFix au reboot Si ça marche pâs, dis le moi , fait tout de meme SmitFraudFix

• relance HijackThis "do a system scan only" , coche uniquement et clic Fixchecked les lignes ci dessous:: R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - (no file) O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: offersfortoday browser enhancer - {ED779250-97E4-1334-5605-A0FC7BCE017C} - C:\WINDOWS\system32\zokpqkrdlqhh.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [usekrdvatdls] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\zokpqkrdlqhh.dll" O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe O4 - HKLM\..\RunServices: [Dns Resolver] dnsrslve.exe O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\MAF899~1\LOCALS~1\Temp\5.tmp.exe O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\MAF899~1\LOCALS~1\Temp\yyy1455.exe O4 - HKUS\S-1-5-18\..\Run: [Dns Resolver] dnsrslve.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Cognac] C:\WINDOWS\TEMP\2.tmp.exe (User 'SYSTEM') O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB O16 - DPF: {7AA32FC7-133B-4AE7-998E-CED0D9829B12} - http://axcab.wrs.mcboo.com/website.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - http://advnt01.com/dialer/internazionale_ver4.CAB O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/...tiveXPlugin.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} - http://www2.incredimail.com/contents/setup...er/imloader.cab O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - (no file) O22 - SharedTaskScheduler: {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - coursings - (no file) ===> ferme ton navigateur et clic Fixchecked • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau , pas ailleurs!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe * Double-clique combofix.exe, accepte le CluF qui s'affiche,la console de recuperation est proposé à etre installée (ça reste ton choix!!), Antivir va couiner sur Nircmd***..., tu autorises les process ou tu desactives temporairement antivirGuard, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

supprimer du clic droit?? http://www.nirsoft.net/utils/shexview.html » http://www.nirsoft.net/utils/shell_menu_view.html faux rouges y'a pas , feux vert y'a .

http://forum.zebulon.fr/debit-adsl-echange...nt-t157030.html

nero c'est du lourd! GDRP\brulot ??y'a du zip sans install , en attendant les spécialistes du Néro \o/ http://volvoxsoft.com/2008/10/15/gdrp/

t'as d'autres liens dans le message precedent. Google--> la base de registre

c'est à dire?? objective comment ça? http://www.aidewindows.net/bdr.php http://www.clubic.com/article-145962-1-win...e-registry.html etc.........

http://www.zebulon.fr/dossiers/57-base-de-registre.html

• desinstalle Navilog1 via ajout\suppression de programmes et supprime ensuite son dossier restant c:\Program Files\Navilog1 • soit tu desactives TeaTimer , soit tu autorises la correction de la ligne ci dessous par HijackThis » Pour désactiver TeaTimer : Afficher d'abord le Mode Avancé dans SpyBot Options Avancées : - menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - cliquer sur Outils, - cliquer sur Résident, Dans Résident : - décocher Résident "TeaTimer" pour le désactiver. » relance HijackThis " do a system scan only" , coche les lignes ci dessous uniquement et clic Fixchecked: O4 - HKLM\..\Run: [ymsog] "c:\windows\system32\ymsog.exe" ymsog ==> clic Fixchecked • telecharge sur ton bureau: http://siri.urz.free.fr/Softs/RHosts.exe Clic restaurer. » clic droit sur le fichier en gras : C:\WINDOWS\system32\drivers\etc\hosts : choisi proprietes et coche la case "lecture seule\clic appliquer • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner: telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

Tu suis le tuto Navilog1 , option1 puis option 2 et tu postes les rapports respectifs , puis tu repostes un nouveau rapport hijackthis sans saut de ligne , merci! http://www.malekal.com//Adware.Magic_Control.php

• Les grosses bebettes ont été TERMINATED ,desinstalle alors Combofix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u » supp c:\combofix ensuite. • supprime: C:\VundoFix Backups C:\upload_moi_XPSP2-FCDDCF03A.tar.gz • » telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé. »desactiver puis réactiver la restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • fait un scan complet de tes disks avec ton kaspersky à jour et poste le rapport

• ouvre ton bloc note[executer--notepad] et copies/colles TOUT le contenu du cadre ci dessous: File:: c:\windows\DSC00133.zip c:\windows\DSC00116.zip c:\windows\DSC00107.zip c:\windows\DSC00102.zip c:\windows\DSC00012.zip c:\windows\DSC00006.zip c:\windows\DSC00001.zip C:\filledout.exe c:\windows\DSC00130.zip c:\windows\DSC00121.zip c:\windows\DSC00113.zip c:\windows\DSC00106.zip c:\windows\DSC00034.zip c:\windows\DSC00008.zip c:\windows\DSC00005.zip c:\windows\DSC00003.zip C:\aom4144.exe c:\windows\pic0382.zip c:\windows\windsvc.exe C:\fildfe45fd.exe C:\sqmdata02.sqm C:\sqmnoopt02.sqm c:\documents and settings\Maison Botte\Application Data\mchost.exe c:\windows\mchost.exe c:\windows\unvise32qt.exe c:\windows\mchost.exe Folder:: c:\program files\Alwil Software Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "settings"=- [HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run] "settings"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Shell"="Explorer.exe" "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0eef35d7-b0fb-11dd-9aad-4d6564696130}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ca4b5ac-b4e4-11dd-9ac0-4d6564696130}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8770aad4-bb09-11dd-bb0f-4d6564696130}] [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A744F16C-B2D5-4138-81A2-085CDFCDE83A}] [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{NQQ5L861-82LC-FV28-BC5R-EK164PT2UCAG}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• relance HJT "do a system scan only" , coche uniquement et clic Fixchecked les lignes ci dessous: F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\mchost.exe" F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\mchost.exe", O2 - BHO: Microsoft copyright - {32C620D6-CC10-4e6a-9715-BACACD5B0E61} - ckds16.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [windsvc] windsvc.exe O4 - HKLM\..\Run: [AutoUpdate_1] C:\WINDOWS\winlogon.exe O4 - HKCU\..\Run: [settings] C:\WINDOWS\mchost.exe O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\mchost.exe O20 - Winlogon Notify: awttutTM - awttutTM.dll (file missing) O20 - Winlogon Notify: geBuSIyV - geBuSIyV.dll (file missing) O20 - Winlogon Notify: khfDspPj - C:\WINDOWS\SYSTEM32\khfDspPj.dll O21 - SSODL: WebProxy - {A744F16C-B2D5-4138-81A2-085CDFCDE83A} - ckds16.dll (file missing) ==> clic Fixchecked • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe * Double-clique combofix.exe, accepte le CluF qui s'affiche, la console de reparation est proposée à ton choix choix à l'installation , afin de l'exécuter et suis les instructions.Ton Kaspersky peut empecher le deroulement de ComboFix , donc desactive l'av temporairement * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

j't'ai fait desactiver les services correspondant à ton soucis , apres pourquoi!!! , conflit avec McAfee !!

ouvre une invite de commande [executer--cmd] , dans la fenetre noir qui s'affiche tu vas taper en respectant la casse, les espaces meme apres = , les lignes ci dessous et valider chacune d'elles par la touche "enter": sc stop SentinelKeysServer sc config SentinelKeysServer start= disabled sc stop SentinelProtectionServer sc config SentinelProtectionServer start= disabled

t'as pas ça dans ajout\suppression de programmes?: C:\Program Files\Rainbow Technologies\SentinelLM 7.2.0 Server\