angelique

hum!! j'avais pas vu qu'il etait là http://forum.zebulon.fr/toujours-infecte-t147989.html Faut pas multiplier tes sujets SeB_Ps2 !!!!! je ferme ici

y'en a plus qu'une , desactive temporairement NOD32 pour effectuer ma procedure.

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe » ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\system32\rsjjvxhk.dll C:\WINDOWS\system32\tsunghlw.dll C:\WINDOWS\system32\vhkuiejp.tmp Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "24ea2fb7"=- "BM27d91c2b"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • Télécharge sur ton bureau : http://www2.gmer.net/mbr/mbr.exe double-clic dessus et poste le rapport log qui est créé sur ton bureau.

dirige toi plus vers MBAM http://www.malekal.com/tutorial_a2squaredfreeV2.php http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php comparatifs sur infections » http://forum.malekal.com/viewtopic.php?f=45&t=8765

• Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): I:\WINDOWS\Tasks\At*.job * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: ewdmaudn File:: I:\WINDOWS\system32\tOgc374C.exe I:\WINDOWS\system32\NW1iG6cU.exe I:\WINDOWS\system32\HJO0GNU5.exe I:\WINDOWS\system32\C3DL15v4.exe I:\SDFix.exe I:\WINDOWS\NV35763580.TMP I:\WINDOWS\system32\tOgc374C.exe.a_a I:\WINDOWS\system32\NW1iG6cU.exe.a_a I:\WINDOWS\system32\kkkcccypnwb.exe I:\WINDOWS\system32\HJO0GNU5.exe.a_a I:\WINDOWS\system32\C3DL15v4.exe.a_a I:\WINDOWS\system32\kcjzxnuekosgnnaxj.dll Renv:: I:\Program Files\XARA\Xara Menu Maker 1.0 .exe Folder:: I:\VundoFix Backups Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{7147f2b1-74f9-82c9-6bdd-49be6cbfe9fb}] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Corporation Svchost Service] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

attaque ComboFix et poste son rapport

ça me parrait legitime C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe http://www.pcpitstop.com/libraries/process/i/WrtMon.exe.html http://www.pcpitstop.com/spycheck/SWDetail...?fn=WrtProc.exe http://www.vistax64.com/vista-security/102...rtproc-exe.html

• copie_colle la ligne ci dessous pour lancer SDFix en mode sans echec , toujours, dans executer et valide la: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe et relance RunThis.bat

attaque SDFix comme je t'ai dis dans mon message fermé + ComboFix, on finalisera demain , je serais connect vers 09:00 ~~

il a reposté là http://forum.zebulon.fr/mon-rapport-hijact...80#entry1254580 je lui ai donné qlqs consignes pour qu'il te poste ses rapport ici , guigui14100 \o_ Vu l'absence de O2&O20 y'a p't être du Vundo en plus ; MP si besoin d'aide , fait lui DL : Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau en le renommant dans la fenetre d'enregistrement par Combo-Fix http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt ou MBAM http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

• relance HijackThis " do a system scan only" coche les lignes ci dessous puis clic Fixhecked: O4 - HKLM\..\RunServices: [Microsoft Corporation Svchost Service] mssvc.exe O4 - HKCU\..\Run: [Microsoft Corporation Svchost Service] mssvc.exe ==>clic fixchecked • telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • t'as modifié ton MSConfig \ demarrage donc: telecharge MSL00k.bat sur ton bureau , execute le et copie_colle le contenu du txt qui s'affiche: http://www.sendspace.com/file/nu57s0 • Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe *double clic dessus et extrait le en c:\ tu auras donc un nouveau dossier c:\SDFix Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : * Redémarre ton ordinateur * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8. * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". * Choisis ton compte. Déroule la liste des instructions ci-dessous : * En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout, * Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le script. * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil. === > et va poster ce rapport de SDFix dans ton sujet d'origine avec un nouveau rapport HJT+ le rapport msLOOK.bat Doublon! http://forum.zebulon.fr/rapport-hijackthis...ci-t147906.html

hum!! je connais pas Vista mais, changer l'extension d'un fichier ne te permet pas de le convertir!! Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut DéCoche dans la liste "masquer les extensions......"\appliquer

quelques infos sur les MDP: http://www.certa.ssi.gouv.fr/site/CERTA-20...05-INF-001.html pas de logiciels de stockage, ça se colle dans ta mémoire humaine!

c'est fait

doublon! http://forum.zebulon.fr/installation-de-lo...le-t147937.html

y'a une page sur ce truc là: http://www.pcinpact.com/actu/news/44841-fr...yage-erreur.htm

Grave les depuis ton autre pc sur un cdrw par exemple pour les transferer sur celui ci. ;o)

oui , ainsi que desinstaller un de tes 2 antivirus avast ou Bitdefender , meme les 2 et en installer un vrai antivir telechargement: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe tuto :: http://forum.malekal.com/viewtopic.php?f=45&t=3528 http://www.malekal.com/tutorial_antivir.php va falloir desactiver le teaTimer de spybot, d'une il sert à rien , de 2 il va pas arreter de couiner avec ces operations ci dessus: désactiver TeaTimer de Spybot-S&D (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer

salut • Télécharge le FixWareout sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://download.bleepingcomputer.com/lonny/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance hijackthis en cliquant sur do a scan system only coche ces lignes si existantes: O2 - BHO: CenterLock module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\CenterLock\CenterLock.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{41556D2E-0005-4570-8D93-2757DF67AFE7}: NameServer = 85.255.115.35,85.255.112.189 O17 - HKLM\System\CCS\Services\Tcpip\..\{7072986E-632C-499B-A0F0-084F2E5F35EB}: NameServer = 85.255.115.35,85.255.112.189 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDCD2D27-F4FA-45F0-9C0C-64AAE7DA43DB}: NameServer = 85.255.115.35,85.255.112.189 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.189 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.35 85.255.112.189 ===> clic Fixchecked • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Program Files\CenterLock EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum avec un nouveau rapport HijackThis

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu]. Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

j'vais pas t'aider , mais si ça urge utilise le le Convert_online http://media-convert.com/#conditions

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu]. Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

est ce que Windows Installer Cleanup Utility resoudrait ta desinstallation de ce produit adobe http://download.microsoft.com/download/e/9...1bd/msicuu2.exe

doublon! http://forum.zebulon.fr/mon-pc-est-infecte...ci-t147414.html

Ton MSconfig\demarrage est parfait comme ça ;o) , ton demarrage est plus léger et ton probleme resolu , certes pas de quickTime mais c'est un autre de ces prog qui se lançait au boot le probleme ; je ne peux l'identifier dsl!!! c'est l'un d'entre eux ^^ Laisse comme ça c'est bien