angelique

• tu ne devrais pas utiliser Combofix comme ça! desinstalle en copiant_collant la ligne ci dessous dans executer et valide: ComboFix /u supp c:\comboFix • tes process viennent de "SafeNet Sentinel", necessaire avec McAfee ?? O23 - Service: Sentinel Keys Server (SentinelKeysServer) - SafeNet, Inc. - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe O23 - Service: SentinelLM - Rainbow Technologies, Inc. - C:\Program Files\Rainbow Technologies\SentinelLM 7.2.0 Server\English\lservnt.exe O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe • sinon y'a rien d'infectieux dans rapport HJT, ta console JavaSun à mettre à jour.

ok , donc tout est ok . Bye \o_

le temps qu'il faut............

tu supprimes -_- Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure. http://pc-system.fr/TC/ToolsCleaner2.exe * Enregistrer ToolsCleaner2.exe sur le Bureau. * Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés ------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal ! Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer. Fermez le programme en cliquant sur "Quitter ". Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

supp alors c:\qoobox et ça sera ok

apres desinstallation de ComboFix en utilisant dans executer ComboFix /u , il reste à la racine de ton disk donc poste de travail , ton disk dur c:\ le dossier combofix, supp. le

• desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u » supp. c:\combofix • je te conseille de desinstaller LimeWire via ajout|supp de programmes, c'est une poubelle à merdes puis de supprimer ses dossiers restants: c:\documents and settings\Maxime\Application Data\LimeWire c:\program files\LimeWire » Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes. Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens etc...! Pour t'en convaincre, lis ces deux topics très clairs: le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893 le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? • supprime la sauvegarde d'HijackThis, le dossier backups: C:\Program Files\Trend Micro\HijackThis\backups • acrobat pas à jour + IE6 = dangers dans tes surfs sur le net: http://forum.malekal.com/viewtopic.php?f=33&t=13629 http://forum.malekal.com/viewtopic.php?f=45&t=12405 • /!\ attention aux infections se propageant par support USB , à lire: http://forum.malekal.com/ftopic3350.php • Finir nettoyage: » telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. le prochain reboot sera un petit peu plus long, le %windir%\prefetch ayant été vidé. »desactiver puis réactiver la restauration systeme de cette maniere: http://service1.symantec.com/SUPPORT/INTER...020830101856924

• relance HJT " do a system scan only" coche uniquement et clic Fichecked les lignes cidessous: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduez.exe] C:\WINDOWS\system32\kduez.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k • acrobat pas à jour = danger! http://forum.malekal.com/viewtopic.php?f=33&t=13629 • si ton antivirus couine tu le descatives temporairement! » Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe * Double-clique combofix.exe, accepte le CluF qui s'affiche,la console de recuperation est propsée à etre installé , à ta guise! afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

faut remove selected \supprimer selection avec MBAM en fin d'analyse et non "No action taken.", recommence!! et reposte un nouveau rapport HIjackThis

telecharge msconf.reg sur ton bureau , double clic dessus et accepte la fusion , puis redemarre ton PC : http://senduit.com/ef6ae7 msconfig fonctionne desormais dans executer ?

+ ça Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE] @="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe"

c'est ce que j'ai demandé à Combofix de me dire: ((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\windows\system32\papimohi ---- c:\windows\system32\papimohi\ apparemment c'est vide , n'est ce pas?? alors supprime » desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u » supp. c:\combofix , C:\!KillBox » Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner: telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 et c'est ok! Bye \o_

héhé , on va le TERMINATED! comme ça, et verifier un truc: » ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\sqmdata01.sqm C:\sqmnoopt01.sqm C:\sqmdata00.sqm C:\sqmnoopt00.sqm c:\windows\system32\mawudeke.dll c:\windows\system32\wegabalu.dll c:\windows\system32\jogonelu.dll Dirlook:: c:\windows\system32\papimohi Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLS"=- "AppInit_DLLS"="" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56d86d2a-d269-11dd-9884-806d6172696f}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

non attends , je lis le rapport!! ne fait rien tout seul sans mon avis.

ouai essaie CF en mode sans echec avec prise en charge reseau, fait moi signe.il est chiant ton bestio

c'est pas RSIT dans le rapport precedent ^^etape 4 , tu as recoller le rapport catchme

pas si simple! • telecharge FixLsa.reg sur ton bureau: http://senduit.com/1849a2 il va etre important, d'etre en possion de Fixlsa.reg et de faire comme je te dis sinon , tu risques de ne plus rebooter 1• Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b4237a65-d383-4438-8b07-1892fc2e4466}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "wowihubota"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wowihubota] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"=- "AppInit_DLLS"="" :commands [start explorer] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) * Ferme OTMoveIt3 (en cliquant sur Exit) 2• double clic sur FixLsa.reg et accepte la fusion , cette etape est tres importante avant de continuer!!!!!! assure toi que la fusion a bien été validée \acceptée. 3• double clic dans le dossier diaghelp sur catchme , dans l'onglet onglet script, copie_colle le contenu du cadre ci dessous et clic start: files to delete: C:\WINDOWS\system32\jogonelu.dll C:\WINDOWS\system32\remowoka.dll C:\WINDOWS\system32\uyovuhul.ini C:\WINDOWS\system32\omutovis.ini C:\WINDOWS\system32\efajutiy.ini C:\WINDOWS\system32\oruyines.ini C:\WINDOWS\system32\ebefupep.ini C:\WINDOWS\system32\CF17652.exe C:\WINDOWS\system32\igerimiw.ini C:\WINDOWS\system32\pepufebe.dll C:\WINDOWS\system32\luhuvoyu.dll C:\WINDOWS\system32\bogerijo.dll C:\WINDOWS\system32\zurufalo.dll C:\WINDOWS\system32\seniyuro.dll C:\WINDOWS\system32\zayiveva.dll C:\WINDOWS\system32\cmd.execf C:\InfoSat.txt C:\Bug.txt » poste le contenu du rapport sur ton bureau catchme.log » reposte un nouveau rapport RSIT » essaie de lancer ComboFix

tout à fait ;o) • sinon c'est ok, tu as bien bossé , vide la quarantine d'antivir. » Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner: telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 et editer ton 1er message et ajouter [resolu] dans le titre

le rapport diaghelp est pas complet !! relit le tuto: http://www.malekal.com/DiagHelp/DiagHelp.php si c'est toujours bloqué: Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

arf!! bah tu m'a refait un rapport Hijack pendant que je te repondais , et les entrées n'existent plus , oublie dans mon message precedent sur OTMoveit , si tu le fais quand meme , y'aura du NOT FOUND , pas bien grave! je pense plus que ComboFix etait bloqué par ton kaspersky!

tu as utilisé l'utilitaire msconfig\demarrage et tu y as decoché des entrées , voila pourquoi! • bon desinstalle ComboFix en copiant_collant dans executer et valide: ComboFix /u on refait un coup comme ça: • relance HijackThis " do a sytem scan only" , coche uniquement et clic fixchecked ci dessous: O2 - BHO: (no name) - {b4237a65-d383-4438-8b07-1892fc2e4466} - C:\WINDOWS\system32\vatoteju.dll (file missing) O4 - HKLM\..\Run: [wowihubota] Rundll32.exe "C:\WINDOWS\system32\yenojupa.dll",s O4 - HKLM\..\Run: [CPM77049eb8] Rundll32.exe "c:\windows\system32\wosesara.dll",a O4 - HKUS\S-1-5-19\..\Run: [wowihubota] Rundll32.exe "C:\WINDOWS\system32\yenojupa.dll",s (User 'SERVICE LOCAL') O20 - AppInit_DLLs: c:\windows\system32\wosesara.dll,C:\WINDOWS\system32\remowoka.dll,C:\WINDOWS\system32\jogonelu.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wosesara.dll (file missing) O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wosesara.dll (file missing) ==> clic Fixchecked • Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :files C:\WINDOWS\system32\yenojupa.dll c:\windows\system32\wosesara.dll C:\WINDOWS\system32\remowoka.dll C:\WINDOWS\system32\jogonelu.dll :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wowihubota"=- CPM77049eb8=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLS"=- "AppInit_DLLS"="" :commands [start explorer] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) * Ferme OTMoveIt3 (en cliquant sur Exit) Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter... • retelecharge ComboFix , lance le mais assure toi que kaspersky chez toi ne le bloque pas!!!!! et poste le rapport . • s'il ne se lance toujours pas ni en mode normal , ni en mode sans echec que tu auras testé , tu fais ceci: » Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip Désactive la protection en temps réel de ton antivirus le temps de l'installation et du scan Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan. Si tu ne le fais pas le rapport ne sera pas entier, et tu devras recommencer * Enregistre le sur ton bureau * Ne double-clic pas dessus ! Fais un clic droit sur le fichier et extraire tout * Un nouveau dossier chercher va être créer DiagHelp * Ouvre le et double-clic sur go.cmd ( le .cmd peut ne pas apparaître ). * Une fenêtre va s'ouvrir, choisis l'option 1 * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande. * ATTENTION : pendant l'analyse, après le rapport "catchme sur l'écran rouge", il te sera demandé d'appuyer sur entrée afin de poursuivre le scan, suis bien les instructions à l'écran. * Lorsque l'analyse sera terminée... le bloc-note va s'ouvrir. * Copie/colle le contenu complet du bloc-note dans ta prochaine réponse Pour t'aider, voici un Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

ok

tu fusionnes le reg et tu postes le rapport antivir

desinstalle ta version de ComboFix en tapant et en validant dans executer--> ComboFix /u • relance HijackThis " do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked:: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {b4237a65-d383-4438-8b07-1892fc2e4466} - C:\WINDOWS\system32\vatoteju.dll O2 - BHO: (no name) - {c593f844-6515-4f17-bae1-54733350a5f6} - (no file) O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - HKLM\..\Run: [CPM77049eb8] Rundll32.exe "c:\windows\system32\wosesara.dll",a O4 - HKLM\..\Run: [wowihubota] Rundll32.exe "C:\WINDOWS\system32\yenojupa.dll",s O4 - HKUS\S-1-5-19\..\Run: [wowihubota] Rundll32.exe "C:\WINDOWS\system32\yenojupa.dll",s (User 'SERVICE LOCAL') O20 - AppInit_DLLs: C:\WINDOWS\system32\jogonelu.dll c:\windows\system32\wosesara.dll,C:\WINDOWS\system32\remowoka.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wosesara.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wosesara.dll ===> clic Fixchecked • Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTMoveIt3.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :files C:\WINDOWS\system32\vatoteju.dll c:\windows\system32\wosesara.dll C:\WINDOWS\system32\yenojupa.dll C:\WINDOWS\system32\yenojupa.dll C:\WINDOWS\system32\remowoka.dll :reg [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLS"=- "AppInit_DLLS"="" :commands [start explorer] [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage * Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) * Ferme OTMoveIt3 (en cliquant sur Exit) Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter... • maintenant ComboFix devrait fonctionner donc: » Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe * Double-clique combofix.exe, accepte le CluF qui s'affiche, installe la console de recuperation si tu en as envie quand il te le propose, n'ai pas peut du BIIIP!, afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tu as donc executé le reg que tu trouves sur cette page? http://www.informatruc.com/forum/topic18646.html