bruce lee

1/Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/fr/ Installe et mets à jour. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. 2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html 3/fais: demarer executer services.msc repere Windows Update Manager Double clic dessus :dans le champs Statut du service met le sur arrêté dans le champs Type de démarrage met le sur désactivé puis Appliquer puis ok . fais ensuite la meme manip pour: Windows Update Service 4/maintenant on va supprimer le service: demarrer/executer/ cmd execute cette commande qui est en citation sans le mot citation: fais la meme chose pour: Windows Update Service 5/lance hijackthis en cliquant sur do a scan system only coche ces lignes: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe O4 - HKLM\..\Run: [Network Host Service] uqrtifq32.exe O4 - HKLM\..\Run: [Microsoft ® Windows Update Service] C:\WINDOWS\update\wuauclt.exe O4 - HKLM\..\Run: [WinDLL (bee.dll)] rundll32.exe C:\WINDOWS\System32\bee.dll,start O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard8.exe O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad8.exe O4 - HKLM\..\RunServices: [Network Host Service] uqrtifq32.exe O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked 6/on va afficher tout les fichiers et dossiers en faisant comme ceci: 7/supprime ce qui est en gras: C:\WINDOWS\System32\ winIogon.exe<== le fichier ATTENTION: ne confond surtout pas avec le fichier winlogon.exe qui lui est legitime C:\WINDOWS\ update<== tout le dossier C:\WINDOWS\System32\ bee.dll<== le fichier C:\windows\ keyboard8.exe<== le fichier C:\windows\ mousepad8.exe<== le fichier 8/on va passer par la focntion recherche pour le dernier fichier a supprimer(car il n'y a pas le chemin d'acces): et recherche(si trouvé tu supprimes): uqrtifq32.exe 9/Relance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 10/redemarre en mode normal 11/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

re, bizare je pensais que smitfraudfix trouverait mousepad8.exe et keyboard8.exe bon pas grave on va les supprimer avec hijackthis, analyse en cours retour dans 20 minutes

bonjour angelique et kimy, En mode sans echec : demarrer\panneau de configuration\ajouts et suppressions de programmes et verifie la presence de: Fun Web Products emule si ces programmes sont presents desinstallent les. supprime ce qui est en gras: C:\PROGRAM FILES\ FunWebProducts<== tout le dossier C:\Documents and Settings\Administrateur\Mes documents\ eMule<== tout le dossier C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\ SmileyCentralSetup2.0.2.7.exe <== le fichier on va maintenant supprimer les restes dans le registre. demarrer\executer\ regedit avant toute chose faire une sauvegarde: fichier\exporter supprime ce qui est en gras (si present et surtout rien d'autre!!): HKEY_USERS\S-1-5-18\Software\ Fun Web Products HKEY_USERS\S-1-5-20\Software\ Fun Web Products HKEY_USERS\S-1-5-19\Software\ Fun Web Products HKEY_USERS\.DEFAULT\Software\ Fun Web Products HKEY_CURRENT_USER\SOFTWARE\ MYWEBSEARCH redemarre en mode normal et refais un scan chez panda et poste le rapport.

bonjour, 1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Dézipper la totalité de l'archive sur ton bureau. Double cliquer sur smitfraudfix.cmd Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection. sauvegarde ce rapport et poste le 3/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html * Double cliquer sur smitfraudfix.cmd * Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection. * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) sauvegarde le rapport. redemarre en mode normal et post les deux rapports.

ton log est propre, as tu encore des problemes avec ton PC? au cas ou il resterait des bestioles fais ceci: http://www.pandasoftware.com/activescan/fr...n_principal.htm tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm a la fin du scan tu cliques sur "consulter le rapport",tu le sauvegardes et tu le posts.

y a un truc que je ne comprends pas, comment tu peux savoir qu'elle n'existe pas? refais sans poser te poser de questions et dis moi ce que ca donne demarrer\executer\ cmd et ecris dans la fenetre ceci: sc delete Microsoft DOS appuis entrer

jamais rencontré ce probleme avant avec quelqu'un atten d'autre reponse

quand tu fais: demarrer\executer\ cmd tu ecris: sc delete ca normalement tu peux le faire non?

bonsoir, ton log est infecté commence par suivre cette procedure:

re, ok, mais quand je te posterai la nouvelle procedure tu n'es nullement obligé de la faire ce soir, fais la quand tu veux bon courage pour suivre la procedure

re, euh ok je vais informer des personnes pour savoir ce qu'ils en pensent

re, regis 1/Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/fr/ Installe et mets à jour. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. 2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html 3/demarrer/panneau de configuration/ajouts et suppressions de programmes et verifie la presence de: MyWebSearch si ce programme est present désinstalle le. 4/lance hijackthis en cliquant sur do a scan system only coche ces lignes: R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll (file missing) O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [Microsoft Windows Messenger ] C:\WINDOWS\system32\tetris.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029XXFR_ZS O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked 5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci: 6/supprime ce qui est en gras: C:\Program Files\ MyWebSearch<== tout le dossier C:\WINDOWS\system32\ tetris.exe<== le fichier C:\WINDOWS\ Downloaded Program Files<--- vide le dossier 7/Relance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 8/redemarre en mode normal 9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

bonsoir kimy, analyse en cours retour dans 20 minutes

re, 1/Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/fr/ Installe et mets à jour. Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu". Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. 2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html 3/fais: demarer executer services.msc repere Configuration Loader Double clic dessus :dans le champs Statut du service met le sur arrêté dans le champs Type de démarrage met le sur désactivé puis Appliquer puis ok . fais le meme manip pour: Microsoft DOS 4/maintenant que les services sont désactivé on va les supprimer. demarrer\executer cmd execute cette commande qui est en citation sans le mot citation tu fais de meme pour ceci: 5/lance hijackthis en cliquant sur do a scan system only coche ces lignes: O4 - HKLM\..\Run: [Configuration Loader] bot.exe O4 - HKLM\..\Run: [Microsoft DOS] dos.exe O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINNT\System\regserv.exe /s O4 - HKLM\..\RunServices: [Configuration Loader] bot.exe O4 - HKLM\..\RunServices: [Microsoft DOS] dos.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked 6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci: 7/supprime ce qui est en gras: C:\WINNT\System\ winlogon.exe<== le fichier ATTENTION! pour winlogon.exe ne supprime surtout pas celui qui est dans le system32 C:\WINNT\System\ regserv.exe<== le fichier C:\WINNT\web\ related.htm<== le fichier on va supprimer aussi ceux qui n'ont pas de chemin d'acces: en recherche tu mets(si trouvé tu les supprimes): bot.exe et tu fais aussi une recherche sur: dos.exe 8/Relance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. 9/redemarre en mode normal 10/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis. bonne chance

bonjour analyse en cours, retour dans 45 minutes environ

bonjour, Une personne tres competante m'a conseillé cette manipulation(merci kim ) ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes) copie ceci dedans: -Enregistrez ce fichier reg dans : Bureau -Nom du fichier :ShopperReports.reg -Type du fichier : tous les fichiers -cliquez sur Enregistrer -quittez le Bloc Notes en mode sans echec fixe ces deux lignes avec hijackthis: O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll (file missing) O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll (file missing) avant tout faire une sauvegarde du registre: demarrer\executer\regedit tu cliques sur fichier puis exporter, tu donnes un nom simple(pour t'en rappeler) et tu enregistres ca aussi dans un endroit facil d'acces. Utilisation du fichier:ShopperReports.reg précedemment créé - double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée. redemarre en mode normal et reposte un nouveau log hijackthis.

regis et serp_ico regis regarde ici la question a deja été posé http://forum.zebulon.fr/index.php?showtopic=91970 @+

je ne sais ce que tu apeles procedure manuelle mais moi ce que je te dis c'est de faire la procedure preliminaire.apres on s'occupera des bestioles qui restera.

salut a tous, Mister Doe, si jack lui fait faire utiliser la procedure preliminaire c'est: _parce que ca n'ettoie beaucoup de chose dans le PC ce qui rend l'analyse du log plus facile apres. peut etre que ton spyware doctor enlevera spyware quake, mais generalement une infection ne vient jamais seule, donc tu feras comment pour enlever le reste je suppose que tu utiliseras d'autres programmes non?

ce que tu vas faire: suivre mon poste de 15h32 et quand ca sera finit tu reposte un nouveau log hijackthis dans ce sujet ci.

bonjour vous deux, salmayen, ton probleme est résolu il me semble, pourquoi avoir ouvert d'autres discussion, cloture celle la.Ca serre a rien de faire travailler charles pour rien @+

quand on voit par exemple ce genre de ligne: O4 - HKLM\..\Run: [WindowsUpdate] C:\WINNT\System\svchost.exe /s O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINNT\System\winlogon.exe /s s'il te plait suis la procedure preliminaire

bonjour, charles cette ligne ne serait t'elle pas a fixer? O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) elle correspond(d'apres mes recherches a rien de connu) @+

ton log hijackthis est tes infecté!!(rarement vu autant de bebetes qui trainent dans un log ) suis la procedure preliminaire et reposte un nouveau log hijackthis

n'utilise spyware remover c'est un faux utilitaire de protection!