angelique

Tu devrais faire cette demande dans la partie Software du Forum

certainement une corruption du service msi , windows installer services c'est xp ton OS ?? http://www.microsoft.com/downloads/details...38-de776fd4138c Dial a fix :: http://wiki.lunarsoft.net/wiki/Dial-a-fix#...2C_and_articles partie MSI : tuto : http://www.malekal.com/tutorial_Dial-a-fix.php

on ne monopolise pas 2 Helpers /!\ http://forum.malekal.com/post165412.html?s...420c2c6#p165412

c'est pas depuis que tu as utilisé ATFCleaner ?? si tu coches la cases prefetch , celui ci est vidé ce qui a pour consequence de ralentir le lancement des applications...donc ne coche plus prefetch , et voit si les prochains lançement sont mieux. Sinon à part le gestionnaire orange qui a certainement tendance à ralentir le bigniou , y'a rien qui semble illégitime.

merci de créer ton propre sujet Namion Il ne faut pas utiliser ComboFix sans un œil averti.

lent comment ?? • verifie l'udma :: http://forum.malekal.com/activer-ultra-dma-t798.html#p3860 • defragmente ton disk • reposte un nouveau rapport HijackThis pour verification si tu veux • Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe * Double clique sur le fichier téléchargé pour lancer le processus d'installation. * Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. * Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". * Sélectionne "Exécuter un examen rapide" * Clique sur "Rechercher" * L'analyse démarre, le scan est relativement long, c'est normal. * A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. * Ferme tes navigateurs. * Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

vache.... faut etre perchée pour piger le sujet lol

si c'est marqué surveillance pour ta restauration systeme , c'est ok. sinon ton probleme doit etre resolu.Tu peux vider la quarantine d'antivir.

c'est vraiement pas grand chose à faire et tu pourras desinstaller USBFix car l'outilos est "régulièrement" mis à jour .. puis pour infos /!\:: *´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html les captures ont été réalisées sous FireFox 3.0.11 , c'est quelque peu different depuis la 3.5 mais le principe reste le meme. http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 Sauvegarde de la ruche systeme Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261 http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164 • telecharge ERUNT (ERDNT): http://www.derfisch.de/lars/erunt.zip http://www.aumha.org/downloads/erunt.zip http://dundats.mvps.org/Files/erunt.zip et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , puis double clic sur ERUNT comme sur la capture: http://imagesup.org/images/1240900435-erdnt1.jpg * clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok. http://imagesup.org/images/1240900561-erdnt2.jpg *la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT http://imagesup.org/images/1240900791-erdnt3.jpg *ferme une fois terminé la fenêtre. * si par avenir un probleme pc arrive , tu signales juste au helper que %windir%\ERDNT est present en date du xx_xx_2009 sur ton pc lol .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*•

ça c'est plus à jour , obsolete comme programmes , supprime* : *G:\avira_antivir_personal_free.exe H:\vlc-0.8.6d-win32.exe desormais c'est : FR: http://dlce.antivir.com/package/wks_avira/...personal_fr.exe US: http://dlce.antivir.com/package/wks_avira/...personal_en.exe pour Vlc : le zip :: ftp://ftp.u-strasbg.fr/pub/videolan/vlc/1...1.0.1-win32.zip ou l'installer:: ftp://ftp.u-strasbg.fr/pub/videolan/vlc/1...1.0.1-win32.exe *ainsi que : G:\hijackthis.log G:\mbam-log-2009-07-29 (08-52-48).txt C:\UsbFix.txt ça c'est normal : (!) Non supprimé ! E:\autorun.inf c'est ton E:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [u3 System] # CDFS qui doit avoir la galette dans le lecteur de cd\dvdRom » relance hijackThis et coche et clic Fixchecked ces lignes uniquement: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [instantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe ==> clic fixchecked ==> puis supp. C:\HJT\backups » lire :: http://forum.malekal.com/exploitation-swf-...29.html#p104313 » Téléchargez TFC par OldTimer sur votre Bureau: http://oldtimer.geekstogo.com/TFC.exe * Faites un double clic sur TFC.exe pour le lancer. * L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer. * Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre. * Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, veuillez faire redémarrer manuellement le PC vous-même pour parachever le nettoyage. » ceci est à titre de conseils pas d'obligation /!\ avast si tu veux t'en séparer , c'est par ajout\supp de programmes , suivi de leur uninstaller aswclear.exe à telecharger sur le bureau et à executer: http://www.avast.com/fre/avast-uninstall-utility.html et changer d'antivirus par : antivir V9 : en FR ou en US au choix: FR: http://dlce.antivir.com/package/wks_avira/...personal_fr.exe US: http://dlce.antivir.com/package/wks_avira/...personal_en.exe Tuto: http://www.vista-xp.fr/forum/topic4162.html Configure le les cases cochées comme sur cette video: http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi Met le à jour , fait un scan de ton systeme puis poster le rapport.

Fichier ___ reçu le ___ Votre fichier a expiré ou n'existe pas. recommence

si c:\windows\system32\dllcache\ndis.sys et c:\windows\system32\drivers\ndis.sys ne sont plus détectés infectieux sur virustotal.com , ce que je pense, tu peux terminer le nettoyage: .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html les captures ont été réalisées sous FireFox 3.0.11 , c'est quelque peu different depuis la 3.5 mais le principe reste le meme. http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime son dossier restant apres disparition de l'icone de combofix de ton bureau ---> c:\combofix Sauvegarde de la ruche systeme Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261 http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164 • telecharge ERUNT (ERDNT): http://www.derfisch.de/lars/erunt.zip http://www.aumha.org/downloads/erunt.zip http://dundats.mvps.org/Files/erunt.zip et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier crée par ComboFix vide(avec juste un dossier Subs vide) apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture: http://imagesup.org/images/1240900435-erdnt1.jpg * clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok. http://imagesup.org/images/1240900561-erdnt2.jpg *la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT http://imagesup.org/images/1240900791-erdnt3.jpg *ferme une fois terminé la fenêtre. * si par avenir un probleme pc arrive , tu signales juste au helper que %windir%\ERDNT est present en date du xx_xx_2009 sur ton pc lol .*´¨ ) ,.•´¸.•*¨) ¸.•*¨) (¸.•´ : (¸.•´ : (´¸.•*´¯`*• pour info antivir a meilleurs reputation sur les droppers , si l'envie t'en prend , desinstaller avast via ajout\supp de programmes , passer ensuite leur uninstaller aswclear : http://www.avast.com/fre/avast-uninstall-utility.html installe antivir V9 : en FR ou en US au choix: FR: http://dlce.antivir.com/package/wks_avira/...personal_fr.exe US: http://dlce.antivir.com/package/wks_avira/...personal_en.exe Tuto: http://www.vista-xp.fr/forum/topic4162.html Configure le les cases cochées comme sur cette video: http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi

•désactiver TeaTimer de spybot:: Pour désactiver TeaTimer : Afficher d'abord le Mode Avancé dans SpyBot Options Avancées : - menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - cliquer sur Outils, - cliquer sur Résident, Dans Résident : - décocher Résident "TeaTimer" pour le désactiver. • laisse tous tes supports usb branchés sans les ouvrir , relance USBFix et choisi l'option 2 , nettoyage et poste le rapport • telecharge sur ton bureau et execute : http://www.bitdefender.com/files/Knowledge...nstall_Tool.EXE • reposte un nouveau rapport HijackThis

n'utilise pas cette clé usb /!\ pour le moment , et suis les instructions , le rapport USBFix est missing . • Ton infection est bien prise en charge par USBFix : O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe aussi poste le rapport/!\ • c'est quoi ce reste de Bitdefender?: O4 - HKLM\..\Run: [bDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe" relance Hijackthis " do a system scan only" coche uniquement la ligne ci dessus + celle ci dessous et clic Fixchecked: O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\marion\LOCALS~1\Temp\olhrwef.exe Poste le rapport USBFix

je pense que ça doit mieux rouler ! dans ton cas si ndis.sys est supprimé , tu n'auras plus de connexion réseau et Windows peut être endommagé. allez tu me rescan ndis.sys comme précemment et tu me colles le lien c:\windows\system32\dllcache\ndis.sys et c:\windows\system32\drivers\ndis.sys ---------- la taille de 2009-07-16 20:36 . 2008-04-13 19:20 182656 -c--a-w- c:\windows\system32\dllcache\ndis.sys est celui de [7] 2008-04-13 19:20 182656 1DF7F42665C94B825322FAE71721130D c:\windows\ServicePackFiles\i386\ndis.sys verifie quand meme .

ok ndis.sys patché \o/ • desinstalle Findykill et supp : C:\FindyKill et C:\ToolBar SD • desinstalle Norton Security Scan si present dans ajout\supp de programmes • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Extra:: Driver:: riode32 Duw71 {FF9BACB3-2B8E-45ba-9E68-B6720E5D81A3} File:: C:\errigh.exe C:\ymws.exe c:\windows\system32\Adobek.dll c:\windows\system32\Adobec.exe c:\windows\system32\224112670.dat C:\DOCUME~1\PROPRI~1\Bureau\jp\Desktop\virtual dj\AceCrack-VirtualDJ_2.04.exe c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\zqosys32.exe c:\windows\pss\zqosys32.exeStartup c:\windows\Tasks\Norton Security Scan for Propriétaire.job Folder:: c:\program files\EoRezo c:\program files\Fichiers communs\Symantec Shared c:\program files\Norton Security Scan Registry:: [-HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^zqosys32.exe] [-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\{FF9BACB3-2B8E-45ba-9E68-B6720E5D81A3}] Firefox:: FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\y5vu102d.default\ FF - prefs.js: browser.startup.homepage - hxxp://lo.st# DDS:: uStart Page = hxxp://www.ask.com/?o=13928&l=dis FCopy:: c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\drivers\ndis.sys c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

ok , je te demande tout ça pour faire un tout en un apres analyse idem celui là: c:\windows\system32\drivers\ndis.sys et poste le lien

c'est pas l'analyse de tes fichiers /!\ Fichier 5b9c69fd00df398be86100a618861900c4f23042.EXE reçu le 2009.07.17 04:00:06 (UTC) Situation actuelle: terminé Résultat: 7/40 (17.50%) recommence avec : c:\windows\system32\Adobek.dll c:\windows\system32\Adobec.exe

il faut afficher les dossiers\fichiers cachés...pour les voir , recommence. Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. et scan ces 2 fichiers , puis donne le lien de chaque analyse

avant de continuer , rends toi sur ce site : http://www.virustotal.com/ et fait analyser les 2 fichiers suivant: c:\windows\system32\Adobek.dll c:\windows\system32\Adobec.exe Donne le lien de l'analyse

mouai on virera O23 - Service: ASKUpgrade - Unknown owner - C:\ProgramFiles\AskBarDis\bar\bin\ASKUpgrade.exe , avec ce qui reste à virer à la lecture du rapport de ComboFix.

ok

Bonjour, • telecharge http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe --> Lance l'installation avec les paramètres par défaut. --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. --> Double-clique sur le raccourci UsbFix sur ton Bureau. --> lance "rechercher option 1" Note : le rapport UsbFix.txt est sauvegardé à la racine du disque. • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" . Puis clique sur "Do a system scan and save a logfile" fais un copier-coller du rapport Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ferme HijackThis

Merci de créer votre propre sujet afin qu'un membre de l'équipe sécurité analyse votre soucis.

http://fr.wikipedia.org/wiki/FAT32