queruak

Rebonjour, Bonjour à tous, -1-Assure toi d'avoir accés à tous les fichiers. -2-Démarrer / Exécuter / tape services.msc et clique sur OK Dans la liste des services, cherche et sélectionne " Network Security Service " / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de "C:\WINDOWS\system32\winlb.exe " / dans Type de démarrage, sélectionne Désactiver / valide la modification ! -3-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {93818BC9-D266-1EB9-EDFE-1C682654EE66} - C:\WINDOWS\atlom.dll (file missing) O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winlb.exe (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Propriétaire\Mes documents\blue\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\Propriétaire\Mes documents\blue\security suite\ewidoguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe -4-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked" -5-Redémarre en mode sans echec. Comment démarrer Windows XP en mode sans échec -6-Supprime les fichiers suivants. (s'ils sont encore présents) . C:\WINDOWS\atlom.dll <-le fichier .C:\WINDOWS\system32\winlb.exe <-le fichier -7-Passe CleanUp -8-Redémarre normalement et fais les scans en ligne suivants -HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent -http://www.pandasoftware.com/activescan/ -9-A la fin des scans,colle les rapports ici.,ainsi qu'un nouveau log Hijackthis pour vérification. L'installer dans un répertoire spécifique(Pas sur le bureau,ni dans le repertoire Temp). @+

Rebonjour, Impressionnant quand meme tout ce qui a été supprimé !!! Je regarde ton nouveau rapport,réponse dans quelques instants @+

Salut Stonangel Serflog se présente sous la forme d'un message contenant un lien vers un fichier au nom aléatoire avec une extension en .PIF ou .SCR Ce lien est vers un fichier avec une extension .exe De plus greg_gonzal ne décrit pas les manifestations habituelles en cas d'infection par Seflog. http://www.secuser.com/alertes/2005/serflog.htm Rappelle toi aussi les discussions qu'on avait sur PCA,ou ce Serflog "gelait" meme les autres outils de sécurité.

Bonjour, greg_gonzal C'est quoi ce lien de m...que tu as mis là? Désactive le vite s'il te plait Attention ne cliquez pas dessus !!!

Rebonjour, -1-Télécharge les outils suivants: *CWShredder http://www.bleepingcomputer.com/files/cwshredder.php Installer CWShredder dans un répertoire dédié *SpSeHjfix http://www.derbilk.de/SpSeHjfix112.zip Tu le dézippes dans un répertoire alloué *Ewidoo http://www.ewido.net/en/download/ Installe et met le à jour *CleanUp http://cleanup.stevengould.org/ Tu l'installes. -2-Ferme toutes les fenêtres -lance CWShredder et clique sur "Fix". -3-Redémarre. -4-Lance CleanUp et éxecute le. clique sur "CleanUp !" -5-Redémarre. -6-Lance SpSeHjfix .. clique sur le bouton "start disinfection" .. en cas d'infection , l'ordinateur est redémarré .. SpSeHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours. . examiner, communiquer le fichier log généré -7-Redémarre. -8-Lance Ewido. -9-Redémarre et poste les rapports de SpSeHjFix,Ewido,ainsi qu'un nouveau log Hijackthis.

Bonjour, Je regarde ton rapport,réponse dans quelques instants !

Que c'est beau !!! Rien que pour ça,il fallait réussir. On remettra de l'ordre plus tard. Commence par rétablir les parametres par défaut ds options d'affichage des fichiers. Tu peux te débarasser de : kill box silent runners cwshredder Ce sont des outils dont tu n'auras pas besoin. Spywareblaster;a2 free;ad aware;SpyBot S&D :ceux la sont à garder. Je te donnerais plus de détails plus tard.

Bonsoir à tous, Il serait plus logique de désinfecter d'abord le PC,puis le mettre à jour. Nephtysmimi,fais ce que te dis Clément64,puis poste un nouveau log Hijackthis.

Rebonjour, -Il est toujours là ! -Fais ceci: -Vide les quarantaines de: .Microsoft AntiSpyware .ewido -Télécharge les outils suivants Ad-awareSE Bien mis à jour http://www.lavasoft.de/support/download/#free SpyBot-Search & Destroy Bien mis à jour http://spybot.safer-networking.de/fr/download/index.html -Redémarre en mode sans echec. -Examen avec SpyBot et Ad-aware. bien mis à jour;supprimer tout ce qu'ils proposent -Redémarre en mode sans echec -Fais:Démarrer-->Exécuter-->Regedit-->OK Naviguer jusqu'à HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System clic sur "system" pour la sélectionner, et à droite on voit des valeurs marquées. clic droit sur la valeur "WallpaperStyle", supprimer la valeurWallpaper"=reg_sz:"c:\wp.bmp" clic droit sur la valeur "NoDispBackgroundPage"-> modifier => entrer "00000000", sélectionne "hexadécimale", puis ok. fermer le registre -Redémarre. -Communique les résultats,

Re, michka,michka, Lis bien ce que je t'ai dit de faire: -Redémarre noramlement et poste moi un nouveau rapport silentrunners.

Re, Il est toujours là ! Je le vois sur le rapport de silentrunners. C'est pour cette raison que je t'ai demandé d'utiliser Pocket KillBox As tu utilisé Pocket KillBox ? Tu dois etre détaillé que ça,les solutions ne manquent pas ,pourvu que tu m'aides à t'aider.

Je trouve t réponse trop courte. As tu supprimé le fichier C:\wp.bmp ?

Bonjour, michka, Donne des nouvelles !!!

Bonjour, C'est surtout à moi que tu feras plaisir ! LOL

Bonjour, -Télécharge cet outil Pocket KillBox d'ici: http://www.bleepingcomputer.com/files/spyware/KillBox.zip Une fois téléchargé,tu le dezippes sur ton bureau -Lance Pocket KillBox,et dans la petite boite(sous Full Path of File to Delete) ,tu colles le chemin complet du fichier suivant C:\wp.bmp Coche le bouton"Delete on Reboot " . Au méssage C:\wp.bmp will be Deleted on Next Reboot YES / NO tu reponds par YES Au méssage"File will be Removed on Reboot, Do you want to reboot now?" Tu réponds par YES -Redémarre en mode sans echec et si le fichier wp.bmp est toujours présent,tu le supprimes fais une recherche sur les fichiers suivants,et tu les supprimes .msole32.exe .popuper.exe -Vide tout le contenu de Prefetch C:\WINDOWS\Prefetch <--tout le contenu -Vide la corbeille. -Redémarre ,communique les résultats

Bonjour, Bien ! Fais ceci maintenant; Télécharge ce fichier http://www.silentrunners.org/Silent%20Runners.zip Une fois téléchargé,tu le dézippes dans un dossier dédié. Puis tu double cliques sur ce fichier,il va travailler,patiente jusqu'à l'affichage d'un méssage. Un log est généré dans le meme dossier,colle le log ici.

Bonjour, michka, Télécharge List Installed Programs script http://www.billsway.com/vbspage/ Tu le lances --> OK (ne mets rien dans la case)-->un log est généré. Tu colles le log ici. Edit: Stonangel,tu n'en m'en voudras pas,si j'ai pris le relais

Bonjour à tous, Fais les examens suivants,en mode sans echec Supprime tout ce qu'ils te proposent Ad-awareSE Bien mis à jour http://www.lavasoft.de/support/download/#free SpyBot-Search & Destroy Bien mis à jour http://spybot.safer-networking.de/fr/download/index.html

Bonsoir à tous, Oui,ipl je connais bien tesgaz,trés bien meme Je savais déja que les membres de Zebulon sont d'un excellent niveau(le mot est trop faible),pour preuve ZebProtect qui le fruit de leur intélligence. Les perspectives éxistent réellement sur Zebulon,le projet d'un d'un logiciel de sécurité antimalware en est l'illustration. J'espere de tout coeur faire connaissance avec les autres membres,qui est entre autres l'une des raisons de ma venue sur Zebulon.

Bonsoir, C:\Documents and Settings\Nathalie\Mes documents\ Nathalie est la ! Mais je ne sais pas comment,il se retrouve sur le rapport ???? Au fait,yokelou poste un nouveau rapport hijackthis.

Bonsoir à tous, Tu as raison,car la resolution de ton probleme risque d'etre longue et complexe. Fais ceci pour moi: Télécharge cet outil,sur ton bureau http://forums.net-integration.net/index.ph...=post&id=134981 Tu le dézippes,(le dossier est FindQoologic) Ouvre ce dossier,doubleclique sur le fichier bat Find-Qoologic Patiente,un log est généré, Colle ce log ici.

Bonsoir à tous, ipl les mots me manquent...Merci

Bonsoir à tous, Je l'ai vu aussi ipl,c'est certainement l'oeuvre de yokelou,il est assez perdu avec toutes ses sessions verolées.LOL Je me demande comment le "robot" aurait analysé ce rapport avec "Nathalie" en tete du rapport ?

Bonsoir à tous, Salut Parallel Universe, Je suis particulierement content de te croiser ici Bienvenue ! Merci ipl,

Bonsoir à tous, Je crois que les discussions etaient sur le forum ami,particulierement animées par tesgaz et ipl: http://forum.pcastuces.com/sujet.asp?SUJET_ID=163338 http://forum.pcastuces.com/sujet.asp?SUJET_ID=163022