bruce lee

bonsoir a tous, as tu suivis la procedure preliminaire. P.S: oui il reste des trucs foireux dans ton log

re, LOL ewido en a trouvé une chié de bebetes!!!! et le log hijackthis il est ou?

re, repasse s'il te plait un coup de ewido en mode sans echec, et par la meme occasion supprime ceci: C:\Documents and Settings\Administrateur\Favoris\ Erotic Search.lnk <== le fichier redemarre en mode normal et refais un scan chez panda et postes le rapport. @+ et bon courage

bonour lolokiss, ton log est infecté commence par suivre cette procedure:

bonjour yarbi, EDIT: pas vu que tu etais la charles désole bonne continuation

bonjour, ton log est propre, beau travail si tu n'utilises que firefox tu peux fixer ces lignes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=566...age=about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens as tu encore des problemes avec ton PC?

bonjour, oublie le scan avec antivir alors, et fait le reste. @+

bonjour, on va verifier une chose, 1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs 2/déconnecte toi du net et ferme toutes les applications en cours. 3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle nous la totalité du rapport.

re, 1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html / demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de: MailSkinner si ce programme est present desinstalle le. 3/lance hijackthis en cliquant sur do a scan system only coche ces lignes: O4 - HKLM\..\Run: [Microsoft Update] wuagrd.exe O4 - HKLM\..\Run: [wgysmblcq] c:\windows\system32\wgysmblcq.exe wgysmblcq O4 - HKLM\..\RunServices: [Microsoft Windows Update Installations] Winhost.exe O4 - HKCU\..\Run: [Microsoft Update] wuagrd.exe O4 - HKCU\..\Run: [Microsoft Windows Update Installations] Winhost.exe O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1073.dll,InstantAccess O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe O4 - HKCU\..\RunServices: [Microsoft Update] wuagrd.exe O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1026_FR_XP.cab O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1063_XP.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200211...meInstaller.exe O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} - http://scripts.downloadv3.com/binaries/EGD...ESS_1074_XP.cab O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - http://scripts.downloadv3.com/binaries/EGD...ESS_1073_XP.cab O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked 4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci: 5/supprime ce qui est en gras: c:\windows\system32\ wgysmblcq.exe<== le fichier c:\program files\ mailskinner<== tout le dossier C:\Windows\System32\ wgysmblcq.dat<== le fichier C:\Windows\System32\ wgysmblcq_nav.dat<== le fichier C:\Windows\System32\ wgysmblcq_navps.dat<== le fichier 6/ on va supprimer les fichiers qui n'ont pas de chemin d'acces: recherche(si tu les trouvent tu les supprimes): wuagrd.exe Winhost.exe EGDACCESS_1073.dll 7/redemarre en mode normal 8/poste un nouveau log hijackthis. bon courage, et si tu as la moindre question n'hesite surtout pas @+

bonjour a tous, ton log n'est pas entier mais on va faire avec analyse en cours, retour dans 20 minutes.

bonjour a tous, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". supprime ce qui est en gras: C:\Documents and Settings\All Users\Menu Démarrer\ LipGame.lnk<== le fichier redemarre en mode normal et refais un scan chez panda et poste le rapport je te prie. @+ et bon courage

re, ne fais que passer Webbhdll.dll dans remove et surtout aucun autre!

re, ca va aussi me servir a moi pour plus tard dans d'autres infections @+

bonsoir a tous, effectivement si on voit la ligne 020 ca sera une bebete http://www.f-prot.com/virusinfo/descriptio...glieder_ht.html J'ai peut etre loupé quand tu l'as expliqué donc je demande : Qc001, comment tu sais que cette ligne risque d'etre presente dans le log?: O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll merci de m'expliquer sur le forum ou par MP quand tu auras une seconde @+

re, merci pour les explications qui vont servir aussi a d'autres personnes je pense @+ bonne soirée

re, 1/Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/fr/ Installe et mets à jour. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. telecharge : http://www.cexx.org/lspfix.htm (lspefix) 2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html 3/ demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de: Zango Programs Toolbar888 si ces programmes sont presents desinstallent les. 4/lance hijackthis en cliquant sur do a scan system only coche ces lignes: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file) O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 82.179.166.192 new-search.net O1 - Hosts: 82.179.166.190 x-google.net O3 - Toolbar: Fast Search - {85E517D1-1B6B-4662-AF6E-4B9738091DCC} - C:\WINDOWS\System32\fsearchbar.dll O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll O4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.musicmatch.com O15 - Trusted Zone: *.popuppers.com O15 - Trusted Zone: *.musicmatch.com (HKLM) O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/softwares/v3...ect_regular.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\fpro0393e.dll (file missing) Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked 5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci: 6/supprime ce qui est en gras: C:\WINDOWS\System32\ fsearchbar.dll<== le fichier C:\Program Files\ Zango Programs<== tout le dossier C:\Program Files\ Toolbar888<== tout le dossier C:\WINDOWS\web\ related.htm<== le fichier recherche: usbsystem.exe<== si trouvé tu supprimes Utilise LSPFix en mode sans echec * coche la case devant I know what I'm doing * Fais passer dans remove tout ce qui concerne WebHancer et surtout rien d'autre! * Clique sur finish 7/Relance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 8/redemarre en mode normal rend toi sur ce site: 1- http://virusscan.jotti.org/ et fais analyser(je pense que c'est mauvais mais par mesure de precaution): C:\Program Files\Network\ ipnetwork.exe 9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis et enfin le rapport de JOTTI. bon courage, et si tu as la moindre question n'hesite surtout pas @+

re, analyse de ton log en cours,ca risque de prendre du temps car il est tres infecté @ tout a l'heure

bonsoir, quel genre de bug?

re, refais l'option 2 en mode sans echec s'il te plait

re, non, ne t'inquiete pas

re bonsoir, pour la suppression de look2me: Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite Entrée . Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse. **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". Poste aussi un nouveau log hijackthis, je l'analyserai dans 1 petite heure(la je vais manger ) @+ et bon courage

re, euh je vois aucun rapport

re bonsoir, ton log est tres infecté,webhancer,zango,fastsearch,look2me... on va d'abord s'occuper de look2me: Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur le Bureau double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier l2mfix qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. tu copies le contenu de ce rapport ("report.txt") dans ta prochaine réponse. ATTENTION! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."... alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.

bonsoir cloporty, analyse en cours retour dans 20 minutes

bonour kimy, je trouve ca tres bien que tu expliques la solution maintenant a ton tour de m'expliquer une chose . comment as tu remarqué qu'un cheval de troie etait sur ton PC.?