angelique

• supprime c:\SDFix ainsi que le dossier de sauvegarde de HijackThis sur ton bureau C:\Documents and Settings\souad\Bureau\HiJackThis\backups •fait un scan avec ton kaspersky à jour et poste le rapport

http://imagik.fr/ c'est le meme principe Partout!

rapport HijackThis mal presenté!!!! retour à la ligne dans ton notepad\format, ça fatigue les @@

• relance HijackThis " do a system scan only" , coche les lignes ci dessous et clic Fixchecked: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 ==> clic fixchecked • l'infection Misc' - Fraud/Fake Alert, Proxy, Backdoor, PWStealer Trojans sera traité par SDFix F2 - REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe Infections prises en charge par SDFix ~ http://downloads.andymanchesta.com/Removal...DFix_ReadMe.htm » Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HijackThis

Probleme de restriction à mon avis un peu de lecture: http://speedweb1.free.fr/frames2.php?page=securite4 http://www.laboratoire-microsoft.org/t/1359/

dans l'ordre stp::!!!!!! 1• desinstalle dans ajout\suppression de programmes , les logiciels ci dessous si present: BitTornado LimeWire adaware Lop S&D • redesactive AVG comme precedemment pour executer le CFScript ci dessous » ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: http://forum.zebulon.fr/qu-est-ce-que-c-est-kdjaexe-t145669.html Collect:: C:\WINDOWS\system32\jkkKEwVm.dll C:\WINDOWS\system32\mVwEKkkj.ini2 C:\WINDOWS\system32\mVwEKkkj.ini C:\WINDOWS\system32\vtUnmLbX.dll C:\WINDOWS\system32\ankcrfmc.dll C:\WINDOWS\system32\mlJCVLbb.dll File:: C:\Documents and Settings\Guillaume\Mes documents\Installation\Norton_Antivirus_2008_Crack_exe-Fenopy.com C:\Documents and Settings\Guillaume\Mes documents\Installation\Norton_Antivirus_2008_Crack_exe-Fenopy.com.zip C:\DOCUME~1\ALEXAN~1\APPLIC~1\.BitTornado C:\DOCUME~1\GUILLA~1\APPLIC~1\.BitTornado Folder:: C:\Program Files\Alwil Software C:\DOCUME~1\ADMINI~1\APPLIC~1\Filebikemeal C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec C:\Documents and Settings\Alexandra\Application Data\Filebikemeal C:\DOCUME~1\ALEXAN~1\APPLIC~1\Symantec C:\Documents and Settings\Alexandra_2\Application Data\Filebikemeal C:\DOCUME~1\ALEXAN~2\APPLIC~1\Symantec C:\Documents and Settings\All Users\Application Data\Symantec C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec C:\Documents and Settings\Guillaume\Application Data\Symantec C:\Program Files\Filebikemeal C:\Program Files\Fichiers communs\Symantec Shared C:\Documents and Settings\Guillaume\Mes documents\Installation\NortonAntivirus2008 C:\Documents and Settings\Guillaume\Mes documents\Installation\RP confidentials CS3 C:\Documents and Settings\Guillaume\Mes documents\Installation\SpeedConnect 7.0 C:\Lop SD C:\Program Files\Trend Micro C:\Documents and Settings\Guillaume\Application Data\LimeWire C:\Program Files\LimeWire C:\Documents and Settings\Alexandra_2\Application Data\LimeWire C:\DOCUME~1\ADMINI~1\APPLIC~1\LimeWire C:\DOCUME~1\ADMINI~1\APPLIC~1\Lavasoft C:\DOCUME~1\ALEXAN~1\APPLIC~1\LimeWire C:\DOCUME~1\ALEXAN~2\APPLIC~1\LimeWire C:\DOCUME~1\GUILLA~1\APPLIC~1\LimeWire C:\Program Files\BitTornado C:\Program Files\Lavasoft Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{56F1BF3D-4A29-4ACF-BA07-631D90F25FF2}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7FC6B132-EA18-4D69-86E0-423E7B940BDC}] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{7FC6B132-EA18-4D69-86E0-423E7B940BDC}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlJCVLbb] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt » - Un fichier zippé sera créé sur ton bureau > [4]-Submit_Date_Time.zip - Un autre fichier est ajouté à présent sur le bureau > CF-Submit.htm Lorsque CF termine son travail, il affiche le rapport CF > si le fichier CF-Submit.htm est détecté, le message suivant va s'afficher > *clique sur [OK], le navigateur va charger CF-Submit.htm comme ceci > *copier/coller le chemin du fichier dans la boite et à cliquer sur [OK][send..] et rien d'autre!

Tu aurais du créer ton propre sujet!!!! ton probleme à toi c'est infections LOP + Vundo • desinstalle avast via ajout\suppression de programmes car tu as l'excellent avg8 • relance HijackThis " do a system scan only" , coche les lignes ci dessous et clic fixchecked:: O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Hope Draw Obj Funk] C:\Documents and Settings\All Users\Application Data\LICENSE FORD HOPE DRAW\Manager type.exe O4 - HKLM\..\Run: [2430eab9] rundll32.exe "C:\WINDOWS\system32\ankcrfmc.dll",b O4 - HKCU\..\Run: [regs cash] C:\DOCUME~1\GUILLA~1\APPLIC~1\FILEBI~1\Jugs Proc.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows...ggPublisher.exe O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.1.6.cab ==> clic Fixchecked • tu traites d'abord LOP avec http://eric.71.mespages.googlepages.com/LopSD.exe Option1 puis option 2 , tu postes le rapport de l'option2 stp!! tuto: http://eric.71.mespages.googlepages.com/lop.sd.exe http://www.assistepc.com/forum/lop-s-d-net...-lop-vt686.html • puis desactive temporairement AVG8 et : Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt == je lirais tes rapports cette apres midi, je pars au taf==

fait gaffe aux sites que tu visites c'est tout!!! fichier temporaire d'IE mis en quarantaine, faut toujours les vider!!!! ça peut etre un faux positif tout comme un Iframe piégé sur un site (pourri) (ou légitime piraté) que tu visites , donc antivir réagit. ATFCleaner nettoies ça bien: telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. et toujours cocher la case dans les proprietes d'IE\avançé\tout en bas__> vider le dossier temporary internernet files lorsque le navigateur est fermé. sinon c'est ok.

\o_ Falkra sisi v8 : http://imagik.fr/view-rl/67584 sur ce pc , j'avais updaté l'ancienne version , et l directory d'installation n'a pas changé C:\Program Files\AntiVir PersonalEdition Classic , tandis que si la V8 est installée sans presence de la V7 le directory d'instal est different C:\Program Files\Avira\AntiVir PersonalEdition Classic ..... c'est de ça que tu parles?? , faut que ce soit comme la bouffe rapide , MacDo......; faut toujours que ça aille vite dans tout tssss!!!! 2mn c'est pas la mort quand meme

nop!! antivir free + za pro 55_109_000

Point de restauration systeme infecté moved en quarantaine , don rien de grave. » vide la quarantaine d'antivir , et corrige la ligne ci dessous avec HijackThis , Fixched: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k le teatimer de spybot va couiner sur la suppression de cette ligne , donc tu acceptes la modif ou tu desactives le teatimer. Sinon ton rapport est propre.

en cochant safeboot dans msconfig , tu as modifié ton boot.ini comme ça[exemple windows NT 2000....]: Vu que tu ne boots pas en mode sans echec car eventuellement corrompu par un Bagle ou autre soucis, et que le mode normal n'est bien sur plus accessible, tu n'as pas d'autre choix que de reconstruire ton boot.ini en console de recuperation:: 1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM. 2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur. 3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP. 4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération. 5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération. 6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE. 7. À l'invite de commandes, tapez bootcfg /list, puis appuyez sur ENTRÉE. Les entrées dans votre fichier Boot.ini actuel s'affichent à l'écran. 8. À l'invite de commandes, tapez bootcfg /rebuild, puis appuyez sur ENTRÉE. Cette commande recherche sur les disques durs de l'ordinateur des installations de Windows XP, Microsoft Windows 2000 ou Microsoft Windows NT, puis affiche les résultats. Suivez les instructions qui s'affichent à l'écran pour ajouter les installations de Windows au fichier Boot.ini. Par exemple, suivez ces étapes pour ajouter une installation Windows XP au fichier Boot.ini : a. Lorsqu'un message semblable à celui-ci s'affiche, appuyez sur Y : Nombre d'installations de Windows reconnues : 1 [1] C:\Windows Ajouter l'installation à la liste des options de démarrage ? (Oui/Non/Tout) b. Un message semblable au suivant s'affiche : Entrez l'identificateur de chargement C'est le nom du système d'exploitation. Lorsque ce message s'affiche, tapez le nom de votre système d'exploitation, puis appuyez sur ENTRÉE. Il s'agit de Microsoft Windows XP Professionnel ou de Microsoft Windows XP Édition familiale. c. Le système affiche un message semblable au suivant : Entrez les options de chargement du système d'exploitation Lorsque ce message s'affiche, tapez /fastdetect, puis appuyez sur ENTRÉE. Remarque Les instructions qui s'affichent sur votre écran peuvent être différentes selon la configuration de votre ordinateur. 9. Tapez exit, puis appuyez sur ENTRÉE pour quitter la console de récupération. Votre ordinateur redémarre et la liste de démarrages mise à jour s'affiche lorsque le message "Choisissez le système d'exploitation à démarrer" s'affiche. http://support.microsoft.com/kb/289022/fr http://support.microsoft.com/kb/330184/fr

voila tu mets des ? partout et za te demandera les access, y'a pas que le sortant mais les openProcess aussi. chez moi c'est comme ça :: http://imagik.fr/view-rl/67421 http://imagik.fr/view-rl/67423 http://imagik.fr/view-rl/67424

bon bah c'est ok ; utilise l'onglet "editer" sous ton 1er sujet et ajoute [resolu] dans le titre.

j'ai jamais pigé votre bins de maj, ça marche toujours chez moi lol, tous les jours 27.06.2008 18:36:56 - Downloaded bytes: 130683 27.06.2008 18:36:56 - Downloaded file(s): 1 27.06.2008 18:36:56 - Downloaded file(s): antivir3.vdf 27.06.2008 18:36:56 - Required time: 02:48 27.06.2008 18:36:56 - Registry entry created successfully: Software\H+BEDV\AntiVir PersonalEdition Classic V 7 |LastUpdate 27.06.2008 18:36:57 - Update finished successfully

c'est ce qu'il fallait faire , ce n'est en definitive pas grand chose , point de restauration systeme infecté et supprimé ainsi que SDFix dans ta corbeille . » vide alors la quarantaine d'antivir » telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. » et effectue une defrag avec JK comme expliqué plus haut. Ton probleme doit etre résolu.

doublon! http://forum.zebulon.fr/technologie-t147025.html

Ton dernier rapport est propre , ton probleme me semble résolu, dans ce cas utilise l'onglet"editer" sous ton 1er message et ajoute [resolu] dans le titre. ;o)

ça me parait ok si jamais un doute existe sur un fichier , il existe [avant de l'ouvrir!] : http://virusscan.jotti.org/ http://www.virustotal.com/fr/ » ton probleme me semble resolu et mérite: utiliser l'onglet[editer] sous ton 1er message, et ajouter [resolu] dans le titre \o_

en attendant un bon defragmenteur :: http://www.kessels.com/JkDefrag/JkDefrag-3.34.zip • telecharge le à la racine de ton disk en c:\ , clic droit dessus extraire ici , tu dois obtenir un dossier C:\JkDefrag-3.34 sans le fichier jk.bat http://imagik.fr/view-rl/67046 • telecharge sur ton bureau jk.bat » http://www.sendspace.com/file/awlvnb • double clic sur jk.bat , appuie sur une touche et laisse la defrag se faire ;o), faut que ce soit positionné comme ça sinon ça ne fonctionnera pas !!

ok , je serais peut etre plus là ce soir pour le lire ;o) , demain Taf , je le lirais vers 06:30AM si posté. Nop c'est bon , supprime C:\_OTMoveIt , j'ai vu ce qu'il fallait voir avec ce que tu as posté en 1er

Pour voir , support usb branché h: stp, telecharge plop.bat sur ton bureau http://www.sendspace.com/file/nwwd5r execute le , copie_colle le contenue du fichier texte qui s'affiche[si je l'ai bien écrit ] , appuie sur un touche quelconque pour fermer la fenetre cmd

y'a pas tous les rapports , relis mon message precedent ;o), manque le rapport MBAM, antivir a pas scanné ton H: , sinon ton C: est ok • tu as trouvés des fichiers infectés sur H: ?? clic droit dessus dans le poste de travail scan with antivir , puis scan with Malware byte's

• desinstalle navilog1 via ajout\supp de programmes , puis supprime son repertoire restant c:\Program Files\navilog1 • supprime le fichier en gras:: C:\HJT\backups • fait un scan antivir et poste le rapport

• supprime c:\SDFix • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Program Files\Boonty C:\Program Files\Fichiers communs\BOONTY Shared EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • desinstalle avast via ajout\suppression de programmes et installe un antivirus performant , antivir Lien de telechargement:: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe l'update est un peu penible en ce moment , les servers sont un peu saturés , telecharge le fichier de mise à jour: http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip tuto :: http://www.malekal.com/tutorial_antivir.php pour le mettre à jour manuellement , onglet update, manual update et specifie le chemin ou se trouve ivdf_fusebundle_nt_en.zip precedemment telechargé. Poste le rapport antivir.