Thanos

salut divine31 A priori rien de mauvais sur ce rapport!Juste deux lignes à fixer! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm -Ferme tous les programmes et clique sur "Fix Checked" -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\WINDOWS\web\related.htm=> inutille plus que méchant! -Vide la corbeille. Quels problèmes rencontres tu?Je vois que tu est resté au SP1,pense à faire au moins les mises à jour critiques qui comblent les failles de windows!

Bon on continue Ovanek, le fichier est trop lourd pour être téléchargé On tentera autre chose apres! *Redémarre en mode Sans Échec *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B67085CC199} - C:\WINDOWS\System32\ddayv.dll (file missing) O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe -Ferme tous les programmes et clique sur "Fix Checked" *vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:Win32Sr Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. *vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete Win32Sr Un message t'avertis du succès de l'opération. Quitte l'invite de commandes. Un fichier récalcitrant que l'on va éliminer comme ceci=> Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") : @ECHO OFF cd C:\WINDOWS attrib -h -r -s win32ssr.exe del win32ssr.exe -Enregistrer ce fichier dans : Bureau -Nom du fichier : remove.bat -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes -Clique sur le fichier remove.bat pour qu'il s'exécute. *Supprime le contenu du dossier en gras: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 *Supprime les dossiers en gras dans C:\WINDOWS: C:\WINDOWS\sns C:\WINDOWS\srx C:\WINDOWS\sna *Vide la corbeille. *Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: C:\WINDOWS\system32\wbem\wmiprvi.dll -Assure toi que la case "Delete on Reboot" soit cochée. -Cliquer sur la croix blanche sur fond rouge: « File will be Deleted on Next Reboot » répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » répondre NON Ainsi de suite tu entres les chemins de tout les fichiers=> C:\WINDOWS\system32\o C:\WINDOWS\system32\i C:\WINDOWS\system32\877879.exe C:\WINDOWS\system32\667876.exe C:\WINDOWS\system32\846684.exe C:\WINDOWS\system32\778971.exe C:\WINDOWS\system32\848687.exe C:\WINDOWS\system32\676981.exe C:\WINDOWS\system32\download.dat C:\WINDOWS\system32\dr32.exe C:\WINDOWS\win32ssr.exe C:\smart.exe C:\Documents and Settings\Jean-Luc\sysctl.exe C:\Program Files\Fichiers communs\Yazzle1125OinAdmin.exe C:\drsmartload1.exe à la fin: « will be Deleted on Next Reboot » Répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste. Redémarre ,poste un rapport hijackthisen mode normal,puis fais stp un scan chez Kaspersky pour voir ou on en est!

oui c'est une bonne idée! envoie la moi par MP s'il te plait,ne la met pas sur le forum! Le fichier fait 11 MO! ca devrait aller?

ok sinon,on passe à l'étape suivante tiens moi au courant.

je jete un oeil pour voir ca! Bizarre ca fonctionne pour moi!! Lorque tu cliques sur le lien que je t'ai donné,normalement,le téléchargement début directement,c'est pas le cas??Parce qu'en fait tu n'attéris même pas sur leur site!Réessaie sur le lien et dis moi sinon je cherche un autre lien! => http://www.spywareinfo.dk/download/mwav.exe (pas d'alerte de Avast?)

yesss! plus de Vundo ouf! bon quelques fichiers à éliminer tu t'en doutes je te prépare tout ca en attendant, et pour faire avancer le scmilblick! tu vas utiliser stp ce super utilitaire qui va bien nous aider!=> Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. Du boulot mais le pc est bien infecté à la base!allez courage,on lâche pas!

salut kdance Toujours la même infection on dirait! -Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier) -Télécharge la version d'essai d'Ewido:ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. -Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\System32\shellexpi.exe en -Ferme tous les programmes et clique sur "Fix Checked" *Supprime le fichier en gras dans C:\WINDOWS\System32: -C:\WINDOWS\System32\shellexpi.exe -Vide la corbeille. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. =>Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé,clique sur "Delete all" -Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport de scan d'Ewido. Pas mal de lignes inutiles à fixer pour optimiser ton pc!

salut zafon Effectivement,ca sent meilleur Etrange en effet... Bon pour nettoyer comme il faut: Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier) redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\WINDOWS\GatorPdpSetup.log -Vide la corbeille. Une clé de registre coriace on dirait,liée à "NEED2FIND" pour la déloger=> *Passe par démarrer > exécuter > tape regedit naviguer jusqu'a cette clé ( en cliquant sur le signe + à gauche): HKEY_CURRENT_USER\SOFTWARE\NEED2FIND Fais un clic avec le bouton droit de la souris sur cette clé (NEED2FIND) et sélectionne Autorisations => dans la fenêtre qui vient de s'ouvrir, sélectionne ton profil (dans nom d'utilisateur ou de groupe) => assure toi que la case "Contrôle Total" soit bien cochée ,si ce n'est pas le cas,coche puis clique sur "ok" => fais un clic droit sur la clé et sélectionne "Supprimer" *Lance EasyCleaner :Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé,clique sur "Delete all" -Redémarre le pc et lance un scan si tu veux bien.Ca devrait être bon

salut diabolik52 EGdaccess est peut être présent sur ton pc ! en attestent les lignes 016(contrôle active x)As tu des messages d'alerte? Bonsoir did71!

eh ben.. beau boulot Ovanek!! Encore cette saleté de Vundo!! -Lance Vundofix ,je parle de celui ci=> Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. Apres ca, un scan en ligne si tu veux bien,il y a peut êtrer autre chose!=> Essaie celui ci, mais comme ton antivirus est Avast et qu'il entre en conflit avec Panda, désactive le bouclier web le temps du scan: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial si ca ne marche pas=> Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Je résume:Vundofix + scan Panda +tu postes s'il te plait les rapports des deux et un nouveau rapport hijackthis, on est pas loin du bout

salut bruce,nicomars C'est moche c'que tu dis là..... Non, je suis pas vexé,ca serait malheureux pour si peu Alors ,Mr Bruce m'a contacté et me demande de venir te voir, il est occupé ailleurs: Comme te l'as dit bruce, elle est bien liée à tes cartes nvidia .En fixant cette ligne 04, tu enlève "nwiz.exe" du démarrage de windows: pour que cette application se lance de nouveau au démarrage=> -soit tu passes par msconfig => passe par Démarrer/Exécuter et tapes msconfig . Ensuite choisis le menu Démarrage , et tu coches la case nwiz , puis tu cliques sur "Appliquer" et "Ok.Lorsqu'il t'est demandé de redémarrer clique sur "Redémarrer maintenant". Normalement tu devrais retrouver l'application au démarrage. -soit tu passes par hijackthis comme te l'as dit bruce! Il faut désactiver ce service, comme ceci=> -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:Netropa NHK Server (nhksrv) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. Si tu refais un scan avec hijackthis, tu ne dois plus voir ce service nomalement! Pour ce qui est de ces lignes=> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE elles sont liées à ta page de démarrage dans IE, tu peux les fixer si tu veux en changer, et passer par les options d'IE pour en mettre une autre. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) Ces lignes (02) sont des" Browser Helper Objects",en gros ce sont des petit programmes qui ajoutent des fonctionnalités à Internet Explorer. O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) la ligne 03 est une barre d'outils d'IE. Les lignes 02 et 03 ne sont pas nécéssaires au bon fonctionnement d'internet et du pc! tu peux fixer Le service SmartLinkService, est associé à ton modem et sert à afficher des informations sur la connexion dans la barre des tâches. Atoi de voir si tu veux t'en passer! dans ce cas, fais comme pour Netropa Voilà si ca peut servir @+ tard

re Ovanek La suite des hostilités!=> 1)-Télécharge la dernière version de Killbox (par Option^Explicit) ici et met le sur ton bureau -Redémarre en mode sans échec:n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte 2)-Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: WTLHelper Object - {6D33B121-5C4C-4450-9D1F-7B67085CC199} - C:\WINDOWS\System32\ddayv.dll O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys.exe O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe O4 - HKLM\..\Run: [winsystems25] winsystems.exe O4 - HKLM\..\Run: [sysctl32] sysctl.exe O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe O20 - Winlogon Notify: ddayv - C:\WINDOWS\System32\ddayv.dll O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe -Ferme tous les programmes et clique sur "Fix Checked" 3)-vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant: Win32Sr Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. 4)-vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete Win32Sr Un message t'avertis du succès de l'opération. 5)-vas dans le menu démarrer executer et tu tapes : regsvr32 /u C:\WINDOWS\System32\ddayv.dll Un message t'avertit que ca a réussi,et que la dll est bien désenregistrée. 6)-Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" copie/colle ceci: C:\WINDOWS\System32\ddayv.dll -Assure toi que la case "Delete on Reboot" soit cochée. -Cliquer sur la croix blanche sur fond rouge: « File will be Deleted on Next Reboot » répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » répondre NON Ainsi de suite tu entre les chemins de tout les fichiers=> C:\gimmysmileys.exe C:\mousepad.exe C:\keyboard.exe C:\WINDOWS\win32ssr.exe C:\WINDOWS\System32\winsystems.exe C:\WINDOWS\System32\sysctl.exe à la fin: « will be Deleted on Next Reboot » Répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

salut C'est vrai qu'il y a du mieux! Vundo s'accroche tel le morbak On va utiliser l'ancienne version du fix comme ceci: Imprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec). Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau : http://www.atribune.org/downloads/VundoFix.exe Double-clique VundoFix.exe afin d'en extraire les fichiers. Ceci va créer un nouveau dossier VundoFix sur ton Bureau. Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur". Ouvre le dossier VundoFix et double-clique sur KillVundo.bat Tu verras cet avertissement : Appuie sur "Entrée" une fois. Tu verras ceci : À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous : C:\WINDOWS\system32\awtqo.dll Appuie sur Entrée pour la suite. Tu verras ceci : À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous: C:\WINDOWS\system32\oqtwa.* Appuie sur Entrée pour la suite. L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only". Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED: O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\awtqo.dll O20 - Winlogon Notify: awtqo - C:\WINDOWS\SYSTEM32\awtqo.dll Ferme HijackThis!. Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC. Lorsque redémarré, continue avec les instructions qui suivent : Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau : http://www.stevengould.org/downloads/cleanup/CleanUp40.exe Lance Cleanup! en double-cliquant sur le fichier téléchargé. Sélectionne: * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users Clique sur le bouton CleanUp! pour lancer le programme. S'il te demande de redémarrer, clique NO. Poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt). @ toute à l'heure pour la suite Pour info ,regarde s'il te plait et dit moi si tu as accès à ces fonctions => Gestionnaire de tâches(CTRL+ALT+SUPP) regedit (a taper dans le champs : Démarrer=>Exécuter) cmd(a taper dans le champs : Démarrer=>Exécuter) Msconfig(a taper dans le champs : Démarrer=>Exécuter)

Méa culpa... je suis désolé ,clemclem, c'est pas vundo fix que je voulais te faire passer! je vais me déconnecter,mon cerveau fume Pour Bibi26 , Vundo est visible dans les lignes 02 et 020 et non pas 018 comme j'ai dit.... j'édite mon message plus haut!! clemclem tu peux te débarrasser de Vundo fix désolé! Je laisse tornado continuer, il est plus concentré

Edité!!

salut clemclem,tornado Du vundo on dirait! Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

salut Ovanek Oh oui ca me parle bien Quel carton de la part d'Ewido!! il n'est pas venu pour rien! Je te rassure ,ca avance déjà je ne vois plus aucun des services éliminés avec hijackthis, ca c'est super!! 1) Relance Vundofix comme précédemment, il reste une dll visible dans ton rapport, Vundofix devrait en faire son affaire à présent!Poste le rapport. 2)-Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\awtqo.dll =>normalement, si vundofix a fonctionné, il doit y avoir l'annotation(File missing) au bout de cette ligne,coche là! O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Command C] sshost.exe O4 - HKLM\..\Run: [winsystems25] winsystems.exe O4 - HKLM\..\Run: [sysctl32] sysctl.exe O4 - HKLM\..\Run: [NAMED] C:\WINDOWS\system32\NAMED.exe O4 - HKLM\..\Run: [Microsoft Task Manager] tasks.exe O4 - HKLM\..\RunServices: [Microsoft Command C] sshost.exe O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe O4 - HKLM\..\RunServices: [sysctl32] sysctl.exe O4 - HKLM\..\RunServices: [Microsoft Task Manager] tasks.exe O4 - HKCU\..\Run: [Microsoft Command C] sshost.exe O4 - HKCU\..\Run: [mpm manager] c:\windows\mpm.exe O4 - HKCU\..\Run: [Microsoft Task Manager] tasks.exe O4 - HKCU\..\RunServices: [Microsoft Command C] sshost.exe O4 - HKCU\..\RunServices: [Microsoft Task Manager] tasks.exe O20 - Winlogon Notify: awtqo - C:\WINDOWS\SYSTEM32\awtqo.dll =>même remarque que pour la ligne 02! -Ferme tous les programmes et clique sur "Fix Checked" -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : *Supprime les fichiers en gras probablement dans C:\WINDOWS\System32 ou C:\WINDOWS: - sshost.exe - winsystems.exe - sysctl.exe - tasks.exe *Supprime les fichiers en gras dans C:\WINDOWS: - c:\windows\mpm.exe Pour celui ci , que tu ne parviens pas a éliminer: C:\WINDOWS\System32\NAMED.exe Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=> @ECHO OFF cd C:\WINDOWS\SYSTEM32 attrib -h -r -s NAMED.exe del NAMED.exe -Enregistrer ce fichier dans : Bureau -Nom du fichier : remove.bat -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes -Clique sur le fichier remove.bat pour qu'il s'exécute.Une fenêtre va s'ouvrir rapidemment,c'est normal! -Vide la corbeille. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport de vundofix. Dis moi quelles difficultés tu as rencontré (quels sont les fichiers non trouvés etc...comme précédemment).Allez on avance bien!

Si tu ouvres SPybot, et que dans le menu en haut tu cliques sur "Mode", tu coches "Avancé" puis en bas de page tu cliques sur"Outils" et "Résident"(icone d'un bouclier rouge)=>décoche la case "Résident Teatimer" et ca devrait être bon . On te demandera certainement confirmation, accepte. L'icone dans la barre des tâches doit disparaitre.

salut caliway Est ce que par hasard tu as conservé le rapport? parce que si il a trouvé des fichiers infectés il serait bon de savoir où! il peut aussi s'agir de faux positifs! des fichiers de quarantaine ou des "outils indésirables"... Un dernier outil qui te permettra de te passer de scan en ligne interminable! -Télécharge la version d'essai d'Ewido:ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. Lorsque tu es passé en mode sans échec, relances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

salut liloute bien bossé ! Le rappport hijackthis est propre!Maintenant,si le pc fonctionne correctement on passe à l'étape suivante=> Le scan de Kaspersky a trouvé des fichiers infectés dans la restauration système:pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=> Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument Cliquez sur Démarrer. Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés. Cliquez sur l'onglet «Restauration du système». Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs» Cliquez sur Appliquer. Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui. Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé. Dis moi commment ca fonctionne

salut aram Du mieux on dirait!Ton rapport est propre , juste quelques lignes à fixer: DESACTIVE LE TEATIMER DE SPYBOT EN PASSANT PAR LES OPTIONS DE SPYBOT, CAR IL EMPËCHE LES MODIFICATIONS AU NIVEAU DE LA BASE DE REGISTRE!! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {620F3281-5F95-B0DA-2386-83F61AB4FB42} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - -Ferme tous les programmes et clique sur "Fix Checked" Un petit scan en ligne ici stp pour voir si rien ne nous a échappé=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Avec le rappport de ce scan ,poste un rapport fait avec hijackthis de cette manière=> Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici.

ok! on continue comme ceci: -Télécharge la version d'essai d'Ewido:ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour..Ne lance pas le scan tout de suite!! -Redémarre en mode sans échec n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) *pour ces fichiers => msnq3insller.exe mswin.pif winlogon.pif iexplorer.exe tasks.exe Regarde à tout hasard si tu ne les trouves pas dans C:\WINDOWS\ sinon lance une recherche avec l'assistant de recherche windows. *Pour ceux ci=> -C:\WINDOWS\System32\winsvc32.exe -C:\WINDOWS\System32\MSsvc32.exe -C:\WINDOWS\System32\system12.exe -C:\WINDOWS\System32\MS22.exe -C:\WINDOWS\System32\NAMED.exe *As tu bien fais ceci pour les voir?=> Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer *Pour ceux dont on t'a refusé l'acces, clique droit dessus =>propriété , et assure toi que les cases "lecture seule" et "caché"ne soient pas cochées,puis retente de les éliminer en mode sans échec. *Ensuite pour les services si tu ne peut pas utiliser la fonction cmd , on utilise hijackthis pour le faire: Ouvre HijackThis. Clique sur Open Misc Tools Section la fenêtre "Configuration va s'ouvrir=> cliquer sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entre dans la zone de dialogue : fwnet Note : assure toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer sur NO recommence avec ceux ci=> lsass NetBIOS Helper Network Monitor Serutpac sp2pnpfix VPNonDemand Win32Sr WinNet AOL Instant Messenger 2)-Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 3)-Redémarre normalement et poste le rapport d'Ewido + un nouveau rapport hijackthis(en mode normal si tu peux!) A toute à l'heure pour la suite!

On va s'occuper des autres infecions, apres ca sera beaucoup plus simple! 1)-Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier) -Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers.(Tres important!!!) comme ceci=> 2)-Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: (no name) - {410A6E2B-AEB2-D767-C1A9-858AABA7FDBB} - C:\WINDOWS\System32\ltqdwd.dll O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\system32\awtqo.dll O2 - BHO: (no name) - {410A6E2B-AEB2-D767-C1A9-858AABA7FDBB} - C:\WINDOWS\System32\ltqdwd.dll O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif O4 - HKLM\..\Run: [Microsoft Security Management] iexplorer.exe O4 - HKLM\..\Run: [services] C:\socks.exe O4 - HKLM\..\Run: [winsvc32] C:\WINDOWS\System32\winsvc32.exe O4 - HKLM\..\Run: [MSsvc322] C:\WINDOWS\System32\MSsvc32.exe O4 - HKLM\..\Run: [Microsoft Windows 128bit Subsystem] C:\WINDOWS\System32\system12.exe O4 - HKLM\..\Run: [Microsoft Task Manager] tasks.exe O4 - HKLM\..\Run: [AdobeReaderPro] svxhost.exe O4 - HKLM\..\Run: [mousepad] C:\\mousepad.exe O4 - HKLM\..\Run: [keyboard] C:\\keyboard.exe O4 - HKLM\..\Run: [tcsvc] rundll32.exe C:\WINDOWS\System32\tcsvc.dll,start O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys.exe O4 - HKLM\..\Run: [MS22] C:\WINDOWS\System32\MS22.exe O4 - HKLM\..\Run: [NAMED] C:\WINDOWS\System32\NAMED.exe O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif O4 - HKLM\..\RunServices: [Microsoft Security Management] iexplorer.exe O4 - HKLM\..\RunServices: [Microsoft Task Manager] tasks.exe O4 - HKLM\..\RunServices: [AdobeReaderPro] svxhost.exe O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [mpm manager] c:\windows\mpm.exe O4 - HKCU\..\Run: [MS Sys Security] mswin.pif O4 - HKCU\..\Run: [Microsoft Task Manager] tasks.exe O4 - HKCU\..\Run: [shtt] "C:\Program Files\hwto\rost.exe" -vt yax O4 - HKCU\..\Run: [Raprbr] C:\WINDOWS\System32\?vchost.exe O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif O4 - HKCU\..\RunServices: [Microsoft Task Manager] tasks.exe O20 - Winlogon Notify: awtqo - C:\WINDOWS\SYSTEM32\awtqo.dll O20 - Winlogon Notify: geede - geede.dll (file missing) O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing) O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing) O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe (file missing) O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe O23 - Service: Serutpac - Unknown owner - C:\WINDOWS\System32\Serutpac.exe O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe (file missing) O23 - Service: VPNonDemand - Unknown owner - C:\WINDOWS\VPN.exe (file missing) O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing) -Ferme tous les programmes et clique sur "Fix Checked" 3)-Supprime les fichiers/dossiers incriminés (s'ils existent encore) : *Supprime les fichiers en gras dans C:\ -C:\socks.exe -C:\mousepad.exe -C:\keyboard.exe -C:\gimmysmileys.exe *Supprime les fichiers en gras dans C:\WINDOWS\System32 -C:\WINDOWS\System32\nbthlp.exe (si tu trouves!) -C:\WINDOWS\System32\winsvc32.exe -C:\WINDOWS\System32\MSsvc32.exe -C:\WINDOWS\System32\system12.exe -C:\WINDOWS\System32\MS22.exe -C:\WINDOWS\System32\NAMED.exe -C:\WINDOWS\System32\Serutpac.exe -C:\WINDOWS\system32\pnpsp2fix.exe -C:\WINDOWS\system32\wincntrl.exe -C:\WINDOWS\System32\ltqdwd.dll -C:\WINDOWS\SYSTEM32\awtqo.dll -C:\WINDOWS\System32\tcsvc.dll *Supprime les fichiers en gras dans C:\WINDOWS -C:\WINDOWS\rofl.exe -C:\WINDOWS\mpm.exe -C:\WINDOWS\fwnet64.exe -C:\WINDOWS\lsass.exe=> ne confond pas avec le vrai dans C:\WINDOWS\System32!! -C:\WINDOWS\VPN.exe -C:\WINDOWS\win32ssr.exe *Supprime les fichiers en gras dans C:\Program Files -C:\Program Files\Network Monitor -C:\Program Files\hwto *Supprime les fichiers en gras probablement dans C:\WINDOWS\System32 ou C:\WINDOWS: - winlogon.pif - iexplorer.exe => ne confond pas avec Explorer.EXE dans C:/windows! - tasks.exe - svxhost.exe - msnq3insller.exe - mswin.pif -Vide la corbeille. Remarque: Certains fichiers ont disparu d'apres ton rapport,et tu ne les trouvera peut être pas! 4)-vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:AOL Instant Messenger (AOL Instant Messenger) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Fais pareil avec les services suivants=> fwnet64 (fwnet) Local Security Authority Subsystem Service (lsass) NetBIOS Helper Service (NetBIOS Helper) Network Monitor Serutpac Plug-n-Play SP2 Fix (sp2pnpfix) VPNonDemand Win32Sr MS Dns Service (WinNet) Quitte les services. -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete AOL Instant Messenger Un message t'avertis du succès de l'opération. Fais la même chose avec ces services=> sc delete fwnet sc delete lsass sc delete NetBIOS Helper sc delete Network Monitor sc delete Serutpac sc delete sp2pnpfix sc delete VPNonDemand sc delete Win32Sr sc delete WinNet sc delete AOL Instant Messenger 5)-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification. Ouf!!+ long que prévu!Tu devrait pouvoir lancer hijacthis en mode normal a présent!Désolé pour l'attente Pendant que tu est dans C:\WINDOWS\System32 , regarde stp combien tu trouves de fichier : svchost.exe (n'élimine rien!!) Allez ,courage!

ok, on va se débrouiller avec les moyens du bord Bon je lance une analyse et te dis quoi faire,dans un vingtaine de minutes!

ok on va faire autrement! Quand tu peux, fais ceci=> Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin. J'ai besoin de voir les dll infectées!ce qui sera fait grace au rapport généré: est ce que tu a le temps de continuer ou veut tu qu'on remette ca a demain,auquel cas tu postera ce rapport demain(ne redémarre pas le pc apres avoir posté le rapport!)?