chercheur

Bonjour Pear Merci pour le lien dubitatus Quand le PC sera débloqué, poste un nouveau Hijackthis.

De rien Supprime BFU. Encore une petite chose. Dénonce ton infection pour faire condamner les auteurs. Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection : - Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5 - Après t'être enregistré à l'aide du bouton en haut se nommant "Register" Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age" Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..). La tienne = Navipromo Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..) Indique aussi le nom du Forum qui t'a aidé. ---> http://www.malwarecomplaints.info/viewforum.php?f=10 Plus d'informations ici http://forum.zebulon.fr/index.php?showtopic=88688

Bonjour Angelo As tu bien lu les liens que tu donnes ? Hijackthis liste certaines entrées dans le registre. A nous ensuite de les analyser et de trouver les meilleures manips possibles. Spybot, dans cette infection , est impuissant..

Bonjour Il y a encore quelques corrections à faire dans ce rapport. Mais suite à ton MP, je voudrais avoir où tu en es. As tu retrouvé les autres comptes ? Sinon, essaie ceci - Fais une restauration système à une date antérieure à tes manips. ou / et - Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne Dernière bonne configuration connue et appuye sur Entrée.

Bonjour Plus de signe d'infection dans ces rapports. As tu encore des dysfonctionnements ?

Bien, c'est le bon rapport. Et il montre une autre infection. * Télécharge CCleaner. http://www.filehippo.com/download_ccleaner.html Installe le dans un répertoire dédié. * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarres l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée. * Lance le nettoyage avec CCleaner. * Relance SmitfraudFix. Choisis cette fois l’option 2 et réponds oui à tout. * Redémarre normalement * Télécharge FixWareout de l'un de ces deux liens : http://downloads.subratam.org/Fixwareout.exe http://download.bleepingcomputer.com/lonny/Fixwareout.exe Sauvegarde-le sur ton Bureau, puis lance-le. Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish. Suis les directives à l'écran. L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît. Le redémarrage risque de prendre un peu plus de temps; ceci est normal. Poste le contenu du rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis et le deuxième rapport de SmitfraudFix.

Bien, il y a un seul fichier aléatoire. Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection. Les manipulations sont à faire sans interruption et dans l'ordre. Si tu ne comprends pas quelque chose, demande des explications avant de commencer. $$ FAIS UN CLIC-DROIT sur le lien suivant http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). $$ Ouvre le Bloc-note et copie-colle les lignes ci-dessous RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acuobdgqkd RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|acuobdgqkd FileDelete %SYSDIR%\acuobdgqkd_navps.dat FileDelete %SYSDIR%\acuobdgqkd_nav.dat FileDelete %SYSDIR%\acuobdgqkd.dat FileDelete %SYSDIR%\acuobdgqkd.exe FileDelete C:\egd.txt SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0 SystemEmptyTempFolder SystemEmptyRecycleBin Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers). $$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. $$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) ---- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : EGDACCESS.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. ---- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : Fixme.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. $$ Clique sur Démarrer -> panneau de configuration -> options internet Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" : electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" => Supprime-les tous $$ Redémarre normalement Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt

Oups Je n'ai pas vu que c'était Vista. Pourtant cela se voit avec ceci On fait différemment. Télécharge Brute Force Uninstaller (de Merijn). http://www.merijn.org/files/bfu.zip Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) Ouvre le Bloc-note et copie-colle les lignes ci-dessous FileDelete C:\egd.txt SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0 Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Egd.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : Egd.bfu Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Egd.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU Poste le rapport situé ici C:\egd.txt

Bonjour Fais un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valides. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Copie-colle l'intégralité dans une réponse. Referme le blocnote. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Bonjour Ton PC est a nouveau infecté... Il faut arrêter le PeerToPeer et les téléchargements hasardeux Et pas d'antivirus actif. Tu vas suivre cette manip http://forum.zebulon.fr/index.php?showtopic=83986 Mais tu ne désinstalles pas Antivir à la fin, tu le gardes. Ensuite tu postes un nouveau rapport hijackthis et on verra pour la suite.

Bonjour Oui, il faut faire cette manip en mode normal. Mais ta version est dépassée. Relances Smitfraudfix et choisis l'option 4 pour faire les mises à jour. Ensuite, tu refais la manip avec l'option 1 et tu postes le nouveau rapport.

Bonjour Le PC est infecté. Télécharge SmitfraudFix de S!Ri: http://siri.urz.free.fr/Fix/SmitfraudFix.exe Tu le mets sur le Bureau. Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1 Poste le rapport.

Bonjour Pas grand chose dans ce rapport. $$ Supprime ce fichier C:\Documents and Settings\Administrateur\3.tmp $$ Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer. $$ Lance OTmoveIT. [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé). NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le. [*]Une liste apparait dans la partie gauche d'OTmoveIT. [*]Un message apparait pour confirmer le nettoyage. Confirme $$ Redémarre le PC $$ Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer. As tu encore des dysfonctionnements ?

Re Pas besoin de faire un nouveau scan avec Kaspersky. Réactive la restauration système. Oui, il vaut mieux changer d'antivirus. Antivir est beaucoup plus réactif face aux nouvelles infections. Regarde dans la manip de Pré-nettoyage les liens pour le téléchargement et l'installation.

Bonjour Le fichier infecté se trouve dans une sauvegarde de Combofix. Supprime : Combofix C:\QooBox Tou les utilitaires que tu as utilisés. Vide la corbeille As tu encore des dysfonctionnements ?

Bien Fais une analyse antivirus en ligne sur Kaspersky http://webscanner.kaspersky.fr/ Clique sur Démarrer Online Scanner. Sélectionne le poste de travail comme analyse. Colle son rapport ici.

De rien

Bonjour Plus rien d'infectieux dans ces rapports

Bonjour Relance un scan HijackThis et coche les lignes ci-dessous : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {EFD3B970-077A-41F2-9C73-2ADDE489501E} - (no file) O2 - BHO: (no name) - {FDBD0745-CE91-49D4-9CE2-636FBF34922C} - (no file) O4 - HKLM\..\Run: [gbobwfyx.exe] C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » Créé un fichier Bloc Notes avec le texte qui se trouve ci dessous File:: C:\WINDOWS\system32\efhkj.ini.ren C:\WINDOWS\system32\efhkj.bak1.ren C:\WINDOWS\system32\jkhfe.dll.vir C:\WINDOWS\system32\rqstv.ini2.ren C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe C:\WINDOWS\system32\rekkpnmu.ini.ren C:\WINDOWS\system32\ebrtivvo.dll C:\WINDOWS\system32\umnpkker.dll.ren C:\WINDOWS\system32\fovwwmrx.exe C:\WINDOWS\system32\vtsqr.dll.ren C:\WINDOWS\system32\rqstv.ini.ren C:\WINDOWS\system32\rqstv.bak1.ren C:\WINDOWS\system32\utstv.bak2.ren C:\WINDOWS\system32\utstv.ini2.ren C:\WINDOWS\system32\utstv.ini.ren C:\WINDOWS\system32\utstv.bak1.ren C:\WINDOWS\system32\vtstu.dll.ren C:\Documents and Settings\All Users\Application Data\jopkrcbs.exe C:\WINDOWS\system32\byxutqn.dll.vir Sauvegarde le fichier avec le nom suivant : ComboFix-Do.txt Comme l'image le montre, fait glisser ComboFix-Do.txt sur ComboFix.exe Cela va relancer Combofix. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

Bien Fais une analyse antivirus en ligne sur Kaspersky http://webscanner.kaspersky.fr/ Clique sur Démarrer Online Scanner. Sélectionne le poste de travail comme analyse. Colle son rapport ici.

Bonjour Les joies du téléchargement .... Il y a probablement des faux positifs. Mais si ce sont des logiciel téléchargés illégalement, ils sont probablement infectés. Et tu dois les supprimer. Fais du ménage dans Outlook. Lance le nettoyage avec CCleaner Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Double-clique sur OTMoveIt.exe pour le lancer. Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. C:\Documents and Settings\rachel\Mes documents\anti virus\clean.zip C:\Documents and Settings\rachel\Mes documents\anti virus\SmitfraudFix.zip C:\log antivirus\clean.zip C:\Program Files\MorpheusBar C:\Program Files\Mozilla Firefox\plugins\NPMorpBr.dll C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\1B8.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\C7.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\C8.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\C9.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\CA.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\CB.tmp C:\Program Files\Trend Micro\Internet Security 2007\Quarantine\CC.tmp C:\WINDOWS\avp.exe C:\WINDOWS\mgrs.exe C:\WINDOWS\system32\djrditjj.dll C:\WINDOWS\system32\drivers\asc3550u.sys C:\WINDOWS\system32\drivers\ip6fw.sys C:\WINDOWS\system32\drivers\runtime2.sys C:\WINDOWS\system32\gebbaxu.dll C:\WINDOWS\system32\geeby.dll C:\WINDOWS\system32\gpkqtktx.exe C:\WINDOWS\system32\hxnboqct.exe C:\WINDOWS\system32\ptsgooqd.dll C:\WINDOWS\system32\qjobxagi.dll C:\WINDOWS\system32\yayxxxx.dll E:\My Downloads\eDonkey2000.exe E:\My Downloads\eDonkey61.exe E:\My Downloads\iMeshV3_1.exe E:\My Downloads\DivXPro502GAINBundle.exe E:\My Downloads bis\DivXPro502GAINBundle.exe E:\My Downloads bis\eDonkey2000.exe E:\My Downloads bis\eDonkey61.exe E:\_Copie de D 2004 05 02\My Downloads\eDonkey2000.exe E:\_Copie de D 2004 05 02\My Downloads\eDonkey61.exe E:\_Copie de D 2004 05 02\My Downloads\DivXPro502GAINBundle.exe E:\_Copie de D 2004 05 02\My Downloads\kazaalite_202_b1.zip E:\_Copie de D 2004 05 02\My Downloads\divers\economiseur ecrans\AllSunsetFree.exe E:\_Copie de D 2004 05 02\My Downloads\Video\GDivx player\GDiVX1.9.9.exe E:\_Copie de D 2004 05 02\My Downloads\Video\DVD2Divx\Rippackv3beta161.exe E:\_Copie de D 2004 05 02\My Downloads\Video\divx_5_1\DivXPro511Adware.exe E:\Fichiers MP3\TELECHARGEMENT EMULE\View Movavi Video Converter 5.4 With The Ultimate Player.zip F:\Documents and Settings\Administrateur\Bureau\clean F:\Documents and Settings\Administrateur\Bureau\clean.zip I:\_Softs installés\kazaalite\first stage\kazaa_lite_202_english.exe Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre Results. Clique sur Exit pour fermer. Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Bonjour Bienvenu sur Zebulon. Télécharge Combofix.exe (par sUBs) sur ton Bureau http://download.bleepingcomputer.com/sUBs/ComboFix.exe Double clique combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.

Re Le 1 est une ligne inutile. Le 2 est bizarre, pas besoin de code, c'est gratuit. As tu bien cliqué en haut à droite sur Download latest version ? Le 3, car tu n'as pas bien fait ceci quand tu as téléchargé le fichier Tant pis pour le 4. Relance Hijackthis et fixe cette ligne Fais une analyse antivirus en ligne sur Kaspersky http://webscanner.kaspersky.fr/ Clique sur Démarrer Online Scanner. Sélectionne le poste de travail comme analyse. Colle son rapport ici.

Bien Relance un scan HijackThis et coche les lignes ci-dessous : R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: (no name) - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1761648D-F46E-D2E6-4911-8A8DBE2D859C} - C:\WINDOWS\system32\xsj.dll O2 - BHO: XBTB00892 - {2CC514F5-5881-49c2-AD9E-6F7A89AB4F1B} - (no file) O2 - BHO: (no name) - {674DDFA6-BB3D-427B-961F-E9EEEF293004} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [abynipkx.exe] C:\Documents and Settings\All Users.WINDOWS\Application Data\abynipkx.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Franck\Titan Poker\casino.exe (file missing) O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Franck\Titan Poker\casino.exe (file missing) O9 - Extra button: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file) O9 - Extra 'Tools' menuitem: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing) Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » Supprime le fichier C:\Documents and Settings\All Users.WINDOWS\Application Data\abynipkx.exe Vide la corbeille Fais une analyse antivirus en ligne sur Kaspersky http://webscanner.kaspersky.fr/ Clique sur Démarrer Online Scanner. Sélectionne le poste de travail comme analyse. Colle son rapport ici avec un nouveau Hijackthis.

Re Pour te protèger, va sur ce lien. Pleins de conseils http://forum.pcastuces.com/sujet.asp?f=25&s=25892 Tu peux faire le choix Antivir/ZoneAlarm, les deux sont gratuits.