angelique

depuis le jour ou je t'ai demandé de faire ça , DSS a été retiré quelques jours apres . • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe la lancer, Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum

le service est peut etre en manuel , voit à le mettre en type de demarrage automatique s'il ne l'est pas! executer ---> services.msc repere la ligne pare feu de connexion....double clic dessus , choisi "type de demarrage" : automatique \appliquer \ clic demarrer, redemarre le pc

oui

ça veut dire poste le rapport option1 de LOP S&D

Pourquoi tu crées un new sujet alors qu'il parait [resolu] dans ton sujet précedent: http://forum.zebulon.fr/comment-copier-une...ur-t149590.html Paye toi une formation excel ... enfin c'est surtout pour te signaler de rester dans ton meme sujet original

si ça apparrait du jour au lendemain , c'est certainement du FP , upload ces fichiers chez avira en specifiant bien dans file type "suspected false positive" , les exe seront analysés et si FP , sera rectifié dans les prochaines Defs: http://analysis.avira.com/samples/

bah oui faut l'alimenter comme expliqué là la difference avec d'autre CG c'est que c'est pas une prise molex qui l'alimente mais apparemment une petit "prise" comme celle des lecteurs diskettes

Certes ! mais la 1ere réaction sur ce fichier dans ce directory DOIT te faire "frémir" sur l'appel d'un VBS certainemant infectieux!!! accompagné certainement d'un autorun.inf[infection via vecteur USB]. ___________________________________________________________________ miki40 Poste ton rapport

'soir Wullfk ,ça t'intrigue pas un truc dans ce genre ????? dans la section : http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html peut être ^^ par exemple F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit. exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\boot.vbs qui pourrait etre la cause de son message d'erreur , c'est à dire appel du fichier mais precedemment supp. par un AV quelconque, mais l'appel registre existe toujours. .............. miki40 Télécharge Deckard's System Scanner http://deckard.geekstogo.com/dss.exe sur ton bureau 1. ferme toutes les applications et fenêtres 2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) 3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : * tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée * quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : * tu n'auras pas de boîte de dialogue (pas de OK) * quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran 4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post 5. Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) 6. Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner 7. n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : * crée un point de restauration dans Windows XP et Vista * nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs * vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Fait un scan avec MBAM et poste le rapport tuto: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

la fenetre de SDFix se referme directement?? executer s'ouvre avec la touche "windows"+ R tuto: http://www.malekal.com/tutorial_SDFix.php

bah tu peux qd meme bien, meme en 640x480 ouvrir le poste de travail , ouvrir c:\SDFix et lancer RunThis.bat quand meme

• relance HijackThis " do a system scan only" ; coche uniquement et clic Fixchecked: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [lphc9t9j0eae1] C:\WINDOWS\system32\lphc9t9j0eae1.exe O4 - HKLM\..\Run: [sMrhcct9j0eae1] C:\Program Files\rhcct9j0eae1\rhcct9j0eae1.exe • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. *si le fix se referme immediatement , ne fonctionne pas , copie colle la ligne ci dessous dans executer et relance SDFix.bat %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HijackThis

"Le fichier "Layout.ini" va se recréé tout seul lors d'un moment d'inactivité du système ou dans quelques jours.

Pas grand chose ;o) , j'edite ton sujet et rajoute [resolu] dans le titre . Bon G33K~3nd. @+

Tu vas telecharger et executer Windows Script 5.7 for Windows XP: http://www.microsoft.com/downloads/details...;displaylang=en puis relancer VirusBdRRepair.vbs et fait la suite.

Passe cette étape et fait la suite , je verrais dans le rapport DSS peut etre le bins, p't etre un bins de files associations

c'est ok • supprime C:\_OTMoveIt • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner: telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 + quelques généralités à lire : http://www.malekal.com/menu_windows_securite.php @+

lié au sc planificateur de tâche?? http://forum.zebulon.fr/resoludossier-pref...ru-t145027.html

nop! c'est ok.

tu peux créer un nouveau point de restauration.

1• y'a des restes de symantec à supprimer! ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: sc config SNDSrvc start= disabled sc stop SNDSrvc sc delete SNDSrvc sc config SymWSC start= disabled sc stop SymWSC sc delete SymWSC exit [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.bat,type de fichier,"tous les fichiers", tres important pour obtenir remove.bat et non remove.bat.txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. » double clic sur remove.bat » telecharge et execute : ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe 2• relance HijackThis "do a system scan only" , coche uniquement les lignes ci dessous et clic fixchecked: O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll (file missing) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe" O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Documents and Settings\PC\Bureau\FlashGet\jc_all.htm O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Documents and Settings\PC\Bureau\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing) O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing) 3• Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Documents and Settings\PC\Bureau\FlashGet C:\Program Files\FlashGet C:\Program Files\Fichiers communs\Symantec Shared C:\SDFix EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. 4• il va falloir installer antivir, à telecharger là: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe tuto d'installation , de scan : http://www.malekal.com/tutorial_antivir.php tu effectues un scan complet et tu postes le rapport avec un nouveau rapport HijackThis Pourquoi!! car tu fais partie de la sectes des bitTorrentiens, Emuleriens.... Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes. Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens etc...! Pour t'en convaincre, lis ces deux topics très clairs: le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893 le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)?

System Volume Information\_restore http://www.malekal.com/rapport_scan_antivirus.php

ton infection localisée ici au boot: O4 - HKLM\..\Run: [lphc9caj0ej55] C:\WINDOWS\system32\lphc9caj0ej55.exe O4 - HKLM\..\Run: [sMrhcccaj0ej55] C:\Program Files\rhcccaj0ej55\rhcccaj0ej55.exe + C:\WINDOWS\system32\pphc9caj0ej55.exe va etre maitrisée avec: • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. *si le fix se referme immediatement , ne fonctionne pas , copie colle la ligne ci dessous dans executer et relance SDFix.bat %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HijackThis Pour info , MBAM la prend aussi en charge :tuto: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

• telecharge et double clic sur : http://pagesperso-orange.fr/doc.jm/b1n/VirusBdRRepair.vbs • tu as toujours OTMoveIt ?? je vois son rep. de déplacement de fichier , sinon: Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\fixwareout C:\SDFix C:\SDFix.zip C:\WINNT\system32\VCCLSID.exe C:\WINNT\system32\SrchSTS.exe C:\WINNT\system32\VACFix.exe C:\WINNT\system32\IEDFix.exe C:\WINNT\system32\IEDFix.C.exe C:\WINNT\system32\404Fix.exe C:\WINNT\system32\Process.exe C:\WINNT\system32\dumphive.exe C:\WINNT\system32\WS2Fix.exe C:\WINNT\Tasks\Symantec NetDetect.job C:\Program Files\Symantec EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u supp apres si toujours existant c:\bug , c:\combofix , c:\qoobox • va falloir reverifier depuis le temps ;o) Télécharge Deckard's System Scanner http://deckard.geekstogo.com/dss.exe sur ton bureau 1. ferme toutes les applications et fenêtres 2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) 3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : * tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée * quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : * tu n'auras pas de boîte de dialogue (pas de OK) * quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran 4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post 5. Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) 6. Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner 7. n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : * crée un point de restauration dans Windows XP et Vista * nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs * vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.