angelique

lis le tuto :: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 Poste de travail scanne tous les disques dur de l'ordinateur

• desinstalle avast via ajout\suppression de programmes , il sert à rien , on remettra un bon antivirus apres. • supprime MBR.exe et son rapport log • relance HijackThis " do a system scan only" coche uniquement les lignes ci dessous ,ferme ton navigateur internet et clic fixchecked:: O2 - BHO: {6fe0bdb0-b1bb-79cb-c094-a3da8c3b98c6} - {6c89b3c8-ad3a-490c-bc97-bb1b0bdb0ef6} - C:\WINNT\system32\ngwceogw.dll O2 - BHO: (no name) - {E8B80CE4-882E-4DE4-B94C-7E7E1C47B832} - C:\WINNT\system32\wvUnNggd.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [0b5d1a56] rundll32.exe "C:\WINNT\system32\absqocic.dll",b O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing) ===> clic fixchecked • Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINNT\system32\ngwceogw.dll C:\WINNT\system32\wvUnNggd.dll C:\WINNT\system32\absqocic.dll [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu avec un nouveau rapport HijackThis * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• telecharge http://www2.gmer.net/mbr/mbr.exe sur ton bureau , lance le , poste le contenu du fichier log qui s'est crée sur ton bureau • reposte un nouveau rapport HijackThis

Comme dit facks , tu retrouve ça là: http://abarka.free.fr/tutorials/PC-sur-TV.php

Non, et encore moins avec ton norton......

desinstalle navilog1 via ajout\suppression de programmes puis supprime le dossier restant en gras c:\Program files\navilog1 supprime le dossier en gras aussi C:\_OTMoveIt • * Fais un scan en ligne Kaspersky avec IE sinon ça marche pas http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 Poste le rapport que tu auras sauvegardé en fin de scan

oui lance l'option2 et poste le rapport.

• relance navilog1 [double clic sur le raccourci sur ton bureau] et choisi l'option2 , poste le rapport.

Installe le,un raccourci est crée sur le bureau il va se lancer tout seul, choisis l'option 1 et poste le rapport.

• M'etonne pas quand on voit ça: uTorrent , Ares + toutes les infections que tu t'es mangé!!! • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

oui faut d'abord desinfecter , et apres tu pourras t'interresser à ce sujet \o_ Chhaabb' S

Vu que c'est moi qui t'ai annonçé que tu étais infectés , je vais te prendre en charge [ au p'tit déj @@ \o_ oGu ] HijackThis ne doit pas etre en temporaire!! • creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe la lancer, Choisis l'option "Do a system scan only" , coche les lignes ci dessous et clic fixchecked: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [CTDrive] "rundll32.exe" C:\WINDOWS\system32\drvgoz.dll,startup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab ==> clic fixchecked • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\drvgoz.dll EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • on verifie que y'a pas de d'infection navipromo\egdaccess vu la presence de l'activeX http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Télécharge Navilog1.exe (Il Mafioso) Installe le,un raccourci est crée sur le bureau il va se lancer tout seul, choisis l'option 1 et poste le rapport.

Tu vas d'abord désenregistrer la dll de cette maniere ; copie_colle dans executer la ligne ci dessous et valide: regsvr32.exe -u "C:\WINDOWS\system32\mshtms.dll" Confirmé par message dll unregistered successfully, normalement. Si ta connection internet fonctionne toujours , supprime C:\WINDOWS\system32\mshtms.dll et la ligne de sauvegarde dans HijackThis "open the misc tools section"\backup..... • tu devrais mettre à jour IE : http://www.microsoft.com/downloads/details...;displaylang=fr • * Fais un scan en ligne Kaspersky avec IE http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html * Clique sur Accept * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. * clique une nouvelle fois sur "Accept" * Les bases de mises à jour vont s'installer, patiente un moment * Clique sur Next. * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. tuto:: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 tu postes le rapport sauvegardé en fin d'analyse

commence par aller dans la section analyse et rapport HJT , drvgoz.dll , meme decoché montre une infection de type Vundo \o_

meme config?? ram? cpu ?? defrag réalisée?? paramètres de sécurité des navigateurs les memes??

Parfait ;o) un malheureux p'tit dropper et navilog1 apres tout ce que tu avais lol \o_ • vide ta quarantaine d'antivir • comment se comporte ton pc?? ça doit etre ok! Pour la dll , je te tiens au jus.

Upload la C:\WINDOWS\system32\mshtms.dll là stp » http://secubox.gateweb.org/mad.php

parfait !!! tu conserves cette dll mshtms.dll , ainsi que la ligne de backups d'hijackthis . la dll va etre analysée , peu d'info sur google sur cette dll , j'ai titillé dessus. On laisse comme ça pour le moment . Tu n'oublieras de remonter ton sujet sur cette dll (si j'oublie ) , ou j'y reviendrais quand j'aurais les infos. Tu fais un scan antivir et tu postes le rapport. Ton pc doit aller mieux deja là \o/

tu t'en sorts bien , tu as bien bossé • [4]-Submit_Date_Time.zip a bien été uploadé ?? ainsi que C:\WINDOWS\system32\mshtms.dll à Siri ?? • desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la: ComboFix /u » supprime si toujours existant c:\qoobox , c:\bug , c:\combofix et [4]-Submit_Date_Time.zip si l'upload s'est passé comme prévu. • relance Hijackthis , open the misc tools section , onglet backup , tu coches et supprimes (delete) toutes les lignes SAUF: O21 - SSODL: MSHTMLS - {A888F568-58E4-11d0-A68A-0000837E3100} - C:\WINDOWS\system32\mshtms.dll • Il ne te reste plus qu'un scan antivir à réalisé, antivir à jour et correctement configuré et me poster son rapport. Tu quarantaine ce qu'il trouve. http://www.malekal.com/tutorial_antivir.php

•ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: http://forum.zebulon.fr/rapport-zeb-help-process-t146488.html Collect:: C:\WINDOWS\system32\rtqibuje.exe C:\WINDOWS\system32\snrqbumc.ini C:\WINDOWS\system32\cmubqrns.dll C:\WINDOWS\system32\qcesqpus.dll C:\WINDOWS\system32\hrnfrcnc.ini C:\WINDOWS\system32\WinCtrl32_0001.dll C:\WINDOWS\system32\WinNt32.hui C:\WINDOWS\system32\yjkluswx.ini C:\WINDOWS\system32\iwdgkfed.dll Folder:: C:\FOUND.100 C:\_OTMoveIt C:\FOUND.042 C:\FOUND.041 C:\FOUND.040 C:\FOUND.039 C:\FOUND.038 C:\FOUND.037 C:\FOUND.036 C:\FOUND.035 C:\FOUND.034 C:\FOUND.033 C:\FOUND.032 C:\FOUND.031 C:\FOUND.030 C:\FOUND.029 C:\FOUND.028 C:\Documents and Settings\All Users\Application Data\Avg7 C:\FOUND.027 C:\FOUND.026 C:\FOUND.025 C:\FOUND.024 C:\FOUND.023 C:\FOUND.022 C:\FOUND.021 [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt - Un fichier zippé sera créé sur ton bureau > [4]-Submit_Date_Time.zip - Un autre fichier est ajouté à présent sur le bureau > CF-Submit.htm Lorsque CF termine son travail, il affiche le rapport CF > si le fichier CF-Submit.htm est détecté, le message suivant va s'afficher > »clique sur [OK], le navigateur va charger CF-Submit.htm comme ceci > Tu n'as qu'à copier/coller le chemin du fichier dans la boite et à cliquer sur [OK] et rien d'autre! Tout est préconfiguré dans le fichier htm. • upload à siri C:\WINDOWS\system32\mshtms.dll à cette adresse :: http://siri.urz.free.fr/upload/

http://www.pcworld.fr/lire/breves/7561/1/m...tee-par-troyen/

Heu!!! vous lisez jamais !!!!

• supprime MBR.exe et son\ses rapports • j'ai besoin que tu fasses analyser chez jotti ou là http://www.virustotal.com/ Vas sur le site http://virusscan.jotti.org/ou http://www.virustotal.com/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ces fichiers : C:\WINDOWS\system32\mshtms.dllC:\WINDOWS\system32\iwdgkfed.dll Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

sujet fermé , veuillez consulter la charte du forum » http://forum.zebulon.fr/index.php?act=SR&f=12

t'as deja un sujet en cours pour le meme probleme hein!! http://forum.zebulon.fr/virus-bagle-t146474.html