Jack_Burton

Miaw, j ai fais une petite erreur dans la toute 1ere procédure voila pourquoi cela n a pas fonctionné! Si vundo n est pas éradiqué apres la procédure que tu es en train de faire en ce moment, essaye la une nouvelle fois avec la rectification! La procédure a été rectifiée, tu peux l appliquer, désolé encore! Procédure complete et rectifiée Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\hmdj.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\jdmh.*<--- les lettres de la dll doivent etre inversées, et il faut enlever l extension dll, tout a l heure j avais oublié cela! Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: (no name) - {6B677164-88E1-47D1-9C82-1ECAFC591C92} - C:\WINDOWS\system32\hmdj.dll (file missing) O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

Bonjour charlotte & re bonjour Charly Charlotte je t invite a suivre la procédure préliminaire :

Re bonjour, Je viens de parcourir vite fait ton rapport et je ne vois rien d infectueux! Je pense vraiment qu il s agit d un probleme hardware! Tu devrais également poster un message sur ce forum : http://forum.zebulon.fr/index.php?showforum=3

Ok, j ai remanié la procédure au dessus, car la nouvelle version de vundofix a subi de légeres modifications, essaye donc cette nouvelle procédure! J ai également mis un scan chez trendmicro puisque chez toi panda ne passe pas! Edit : bon app a tous

Re bonjour, la procédure a échoué! C est la 1ere fois que cela ne fonctionne pas As tu appliqué la procédure comme il faut? Je te prie de bien vouloir la reproduire une nouvelle fois! Si cela ne fonctionne pas, je passerais par autre chose! J ai remanié la procédure : Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\hmdj.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\jdmd Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: (no name) - {6B677164-88E1-47D1-9C82-1ECAFC591C92} - C:\WINDOWS\system32\hmdj.dll (file missing) O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix. Edit : j ai remanié la procédure pour l adapter a la nouvelle version de vundofix

Je suis ravi que tout soit rentré dans l ordre Bon week end a toi!

C est parfait, les 2 lignes n apparaissent plus! Il n ya plus rien d infectueux sur ton rapport! Tu peux a présent rétablir ta page de démarrage initiale dans les options de Internet Explorer! As tu toujours des dysfonctionnements? Tu peux fixer cette ligne O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) si tu as désinstallé spy sweeper!

Ok, A vrai dire je ne pense pas vraiment a une infection virale mais plutot a un probleme logiciel ou hardware! Je t invite tout de meme a suivre la procédure prélimnaire, on ne sait jamais :

Bonjour et bienvenu sur le forum sécurité de zebulon, Ce probleme est il récent? Depuis quand as tu ce dysfonctionnement? As tu installé un nouveau logiciel et/ou un nouveau périphérique sur ton ordinateur?

Oui j ai vu ca! Je t ai demandé de désactiver SpywareGuard car il risque de bloquer les corrections dans la base de registre, peux tu le faire, merci! 1/ -Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour -télécharge CWshredder et mets le à jour: http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe -Télécharge HSRemove http://www.majorgeeks.com/downloadget.php?...133db96f04fb442 2/ redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) 3/ Assure toi d'avoir accès à tous les fichiers. 4/ Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ewcbpfbhfueykhdobrh.info/CgWIG0...Z/L6l4hHCp8.cgi O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 Ferme toutes les fenêtres, tous les programmes et clique surFix checked 5/ -Exécute HSRemove -Lance About:Buster deux fois de suite. Clique sur "Begin Removal" pour commencer le scan. Clique sur "Oui" si tu as un message concernant Explorer.exe. Copie/colle les résultats à la fin du nettoyage. -Ferme toutes les fenêtres, programmes. Exécute CWShredder clique sur Fix. 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Bonjour et bienvenu sur le forum sécurité de zebulon, J analyse ton rapport, réponse dans un moment! Re bonjour, Grosse infection, nous allons opérer en 2 temps : -1er temps : nous allons nous occuper de Vundo -2eme temps : nous analyserons le reste du rapport! Imprime ces instructions ou sauvegarde les dans fichier texte, une partie de la procédure étant faite en mode sans échec. Télécharge VundoFix.exe sur ton bureau: http://www.atribune.org/downloads/VundoFix.exe Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\hmdj.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\hmdj.dll<==== voici l erreur, il fallait inverser les lettres du fichier et supprimer l extention! Appuie sur entrée pour continuer HijackThis va s'ouvrir Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: (no name) - {6B677164-88E1-47D1-9C82-1ECAFC591C92} - C:\WINDOWS\system32\hmdj.dll (file missing) O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll Ferme ensuite HijackThis Le fix va te demander d'éteindre en appuyant sur Arrêt. Maintiens le bouton enfoncé jusqu'à ce que l'ordinateur s'arrête et attends au moins 15 s avant de redémarrer en mode normal. Chkdsk va démarrer. C'est normal. Cela va prendre quelques minutes pour vérifier les fichiers à cause de l'arrêt brutal provoqué. Fais ce scan en ligne: http://www.pandasoftware.com/activescan/ Autorise les à désinfecter Panda a l'option de créer un rapport à l'issue du scan. Clique pour voir le rapport et sauvegarde (activescan.txt). Poste le dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

Elles devraient apparaitre, car sur ton 1er rapport en mode sans échec ici elles apparaissaient sauf la 016! Ma procédure de désinfection a été faite a partir de ce 1er rapport fait en mode sans échec! Surtout ne fais plus de restauration!! Le probleme de "mémoire written" est assez fréquent, nous trouverons une solution! Le plus important c est la désinfection du systeme! Bonne chance, a tout a l heure!

Salut, As tu appliqué correctement la procédure? Je ne pense pas! Il reste encore l infection et de nombreuses lignes qui ne devraient plus apparaitre! C est peut etre ta restauration systeme qui a tout remis! Ne fais pas de restauration pour le moment! Nous nous occuperons de ton probleme de mémoire apres la désinfection! Tu dois appliquer la procédure a la lettre, en suivant les étapes une par une sinon cela ne sert a rien! Reprenons : Désactive SpywareGuard car il risque de bloquer les corrections dans la base de registre! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ewcbpfbhfueykhdobrh.info/CgWIG0...Z/L6l4hHCp8.cgi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\RunServices: [AtiDisplayDrv] atidrvxx.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : atidrvxx.exe<---- ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [AtiDisplayDrv] atidrvxx.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. celui-ci mentionnait sur ton rapport!Peut etre s est il installé a l insu de ton plein gré Bizarre, en tout cas cela ne vient pas de la procédure pour 2 raisons : - tu ne l as pas vraiment appliqué! - aucune ligne que je te demande de fixer est nécessaire

Ok c est parfait, Bonne week end également!

Bonjour fraggy! Effectivement ton rapport est propre! Remarques tu des dysfonctionnements?

Re bonsoir, Si tu utilises ProcessGuard & SpywareGuard non, il n est pas utile du tout, au contraire, il peut entrainer des incompatibilités car tous ces logiciels travaillent en temps réel!

Re bonsoir, Je me demande si ca ne viendrait pas du lecteur.. Est il récent? Aurais tu la possibilité de tester avec un autre lecteur? Un ami a toi pourrait te préter le sien pour vérifier, ca prends que 5 minutes!

Re bonsoir Tesgaz, Je vois également qu il a SpywareGuard!! C est vrai que ca fait beaucoup trop!

Re bonsoir hungo, Bonsoir BipBip Il y a un bug dans Hijackthis, il se peut que tu ne puisses plus utiliser msn si tu fixes cette ligne : O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) Je te conseille donc de la garder! De toute facon Hijackthis fait des sauvegardes des lignes fixées donc si tu as un probleme tu pourras les remettre! Pour le TeaTimer tu fais comme tu veux!

Bonsoir S.Birkoff, Ce sont juste les "vaccins" de spybot, cela ne crée pas de restrictions!

Salut, Ton rapport est propre! Si tu t en rappelles pas c est qu il y a de fortes chances que cela ne soit pas toi qui les a mises donc fixes les lignes 06: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Tu peux également fixer ces lignes : O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe Tu peux utiliser ce logiciel ! réinstalle le! As tu toujours des dysfonctionnements?

Bonsoir a tous, bonsoir Hungo, Re bonsoir angelique & Tesgaz On peut meme rajouter ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Il utilises Firefox donc ces lignes sont inutiles

Bonsoir, Y a pas besoin de drivers pour des lecteurs CD, tu les rebranches correctement, tu rallumes ton PC et windows devrait les reconnaitre automatiquement!

Re bonjour, Tu éteins ton pc, tu coupes l alimentation, tu ouvres ton boitier, tu te débarrasses de ton électricité statique (en touchant quelque chose de métallique) tu débranches ton lecteur CD (enleve la nappe IDE et le fil que le relie a l alimentation), rebranche tout comme il faut, rallume le PC est regarde si le probleme persiste!

Re, Ton rapport est a présent propre! Ce sont les lignes qui n étaient pas présentes (fort possible!) ou le logiciel regedit (pas normal!)???