Jorginho67

Désolé pour le retard ! Rends toi ici : >> http://www.grisoft.com/doc/products-avg-an...dition/fr/crp/0 clique sur TELECHARGER. Enregistre AVG Anti-Rootkit sur ton bureau. Lance le, accepte la licence. Clique sur next puis install redemarre ton ordinateur. Lance le programme Clique sur search for rootkit S'il trouve quelque chose selectionne, se qu'il a trouvé. Clique sur remove selected items http://www.cijoint.fr/cjlink.php?file=cj20...50890964341.jpg Tentative de suppression du rootkit détecté -- Sélection du « rootkit » » détecté puis utilisation de [remove selected items] -- Affichage d'un message d'alerte « Warning ! » ... l'action est dangereuse => OK Affichage d'un deuxième message qui demande un reboot pour terminer l'opération de nettoyage. pour voir si l'operation a réussie. Clique sur search for rootkit S'il trouve qu'elle que chose clique sur save result to file. et poste le rapport. @+

Merci Angelique pour le coup de pouce ! Mâalin, comme suggéré par Angelique : Ensuite, relance Vundofix pour voir... Double-clique VundoFix.exe afin de le lancer. . Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt. poste les deux rapports stp . @+

En fait, quand on aura fini l'analyse de tous les fichiers, on remet tout comme c'etait. Ces fichiers n'ont pas besoin d'etre affichés. Mais pour une analyse complete " 3 Files cannot be scanned, 6 Hidden objects were found " il est souvent nécéssaire de les afficher . @+

Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe OTMoveIt (de Old_Timer) sur ton Bureau. double-clique sur OTMoveIt.exe pour le lancer. copie la liste qui se trouve en citation ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. C:\WINDOWS\SYSTEM32\LogCrypt.dll clique sur MoveIt! pour lancer la suppression. le résultat apparaitra dans le cadre "Results". clique sur Exit pour fermer. poste le rapport situé dans C:\_OTMoveIt\MovedFiles. il te sera peut-être demander de redémarrer le pc pour achever la suppression. si c'est le cas accepte par Yes. Ensuite : Certains Fichiers/Dossiers ne sont pas accessibles sous Windows XP. En particulier les fichiers et répertoires système. Pourtant, il est parfois nécessaire d'accéder à ces répertoires (En cas d'infection par exemple). Fais ce qui suit... Pour afficher les dossiers et fichiers cachés: Panneau de configuration > Options des dossiers > onglet Affichage. coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus" décoche "Masquer les fichiers protégés du Système". Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix. Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système. refais un scan avec l'antivirus, poste moi le rapport ainsi qu'un nouveau log HJT's et le rapport OTmoveIT situé dans C:\_OTMoveIt\MovedFiles stp ! @ +

Re ! Ensuite, j'ai fait un HjT mais lors du rapport, plus de lignes 017, je n'ai donc rien fixé. Et bien, ça veut dire que FixWareout à bien mérité sa paye Antivir m'a trouvé 2 ou 3 infections... Peut etre un faux positif ! Pourrais tu me poster le rapport obtenu avec AVIRA stp ? Le log HJTme semble propre a vu d'oeil, je regarde en détail... Peux tu me faire analyser ceci STP ? Rend toi sur ce site : http://www.virustotal.com/xhtml/virustotal_en.html Clik sur parcourir Recherche ceci : C:\WINDOWS\SYSTEM32\LogCrypt.dll Clik send et colle le rapport stp @+

Bonjour ! Sans vouloir contredire les membres habitués du Forum, avant de fixer les lignes, il faut d'abord traiter l'infection avec le fix adéquat ! Mâalin, tu tiens une infection Ware out ! Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes, puis de copier/coller cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement. Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous. FixWareout de LonnyRJones 1) Télécharge FixWareout de LonnyRJones sur le bureau a partir d'un de ces deux liens : http://download.bleepingcomputer.com/lonny/Fixwareout.exe http://downloads.subratam.org/Fixwareout.exe 2) Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard. 3) Relance HijackThis, choisis "do a scan only" Coche la case devant toutes les lignes suivantes : O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9F03C5-0B41-459E-86B9-9559F0073CD3}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{4BD1C4B9-12A9-4904-8B2F-699F5DF2695F}: NameServer = 85.255.116.27,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70 Clique sur Fix Checked 4) Télécharge Clean.zip de Malekal. http://www.malekal.com/download/clean.zip << ici http://mickael.barroux.free.fr/securite/clean.php << Comment l'utiliser Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd une fenêtre noire va apparaître pendant un instant, laisse la ouverte. Choisis l'option 1 puis patiente Poste le rapport obtenu S’il te demande d’uploader un fichier, tu le fais… pour retrouver le rapport : double clique sur => C => double clique sur " rapport_clean txt. et copie/colle le sur ta prochaine réponse . Fais ceci tranquilement, ça parait compliqué mais il n'en est rien @ +

Re ! Je pense que ça devrait etre bon après ceci ! Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe http://pageperso.aol.fr/balltrap34/demohijack.htm Comment fixer les lignes <---- voir ici http://pageperso.aol.fr/balltrap34/demohijack.htm Générer un rapport <----- voir ici Ta version IE n'est pas à jour ----> Grosse failles de sécurité !!! Internet Explorer v6.00 SP2 (6.00.2900.2180) On en est a la 07 Fait la Mise à Jour en allant sur le lien suivant : http://www.microsoft.com/france/windows/pr...ie/default.mspx La console Java n'est pas à jour: Même punition !!! Clique sur http://filehippo.com/download_java_runtime/ Download Latest Version Choisis la première ligne de téléchargement puis installe java. En fin d'installation, revient sur la page pour vérifier ton installation. Quand l'installation a réussi, ouvre le panneau de configuration > Ajout/suppression de programmes et supprimes les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. Fais cela pour chacune d'elle, une a une, fais redémarrer ton PC quand cela te le sera demandé . Tu gardes la Java\jre1.6.0_04 ! une fois tout ceci fait , reposte un logfile HJT stp ! @+

Bonsoir ! j'ai sous le coude une autre manip' plus radicale, au cas ou celle ci ne donnerait rien ! double-clique sur OTMoveIt.exe pour le lancer. copie la liste qui se trouve en citation ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. C:\Documents and Settings\Ingrid\Local Settings\Temp\Setup + Patch.exe C:\Documents and Settings\Ingrid\Local Settings\Temp\TEMP1.ZIP CAB C:\Documents and Settings\Ingrid\Local Settings\Temp\TEMP1.ZIP/Setup + Patch.exe C:\WINDOWS\system32\WinPrint.exe C:\WINDOWS\system32\NTSpool.exe clique sur MoveIt! pour lancer la suppression. le résultat apparaitra dans le cadre "Results". clique sur Exit pour fermer. poste le rapport situé dans C:\_OTMoveIt\MovedFiles. il te sera peut-être demander de redémarrer le pc pour achever la suppression. si c'est le cas accepte par Yes. reposte un HJT dans la foulée pour vérification stp ! @ +

Ok , on avance bien Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". O2 - BHO: (no name) - {99A4D357-F163-4CF6-8D5A-50767B3EBEDC} - C:\WINDOWS\system32\vtuts.dll (file missing) O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE http://pageperso.aol.fr/balltrap34/demohijack.htm <-- Comment fixer les lignes http://pageperso.aol.fr/balltrap34/demohijack.htm <-- Générer un rapport tu as un processus classé dangeureux, C:\WINDOWS\vsnpstd2.exe lié a ta webcam ! http://www.processlibrary.com/directory/files/vsnpstd2 le probleme est qu'en l'arretant, il se peut qu'elle ne fonctionne plus ! essaye de l'arreter ( le processus dans le gestionnaire des taches ) Pour ouvrir le gestionnaire de tâches, appuies simultanément sur les trois touches du clavier Ctrl-Alt-Suppr (Del). Sous Windows NT/2000/XP, choisis l'onglet "Processus" (Processes) pour lister tous les processus. On notera que seuls les processus "maîtres" sont affichés (les .exe) mais pas leurs dépendances (les composants en .dll). Recherche vsnpstd2.exe et cliques sur "Arreter le processus". Dis moi si la cam fonctionne ! Peux tu me faire un scan en ligne Kaspersky sous Internet Explorer stp ? ici >> http://webscanner.kaspersky.fr/ Désactive ton antivirus, le temps du scan ! Clique sur Démarrer Online-Scanner Clique maintenant sur J'accepte. Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle ici le rapport généré en fin d'analyse. NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée" va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. je pense qu'on pourra finir après ces manips' @+

Ok, merci ! Ca permettra au developeurs de vérifier ces fichies inconnus.... pour y voir plus clair : Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". O2 - BHO: (no name) - {63B8878C-7201-4ADF-A2F9-856542BB8835} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {8DBF7002-FC8D-427E-BC31-E2F32B1DDF10} - C:\WINDOWS\system32\pmnnk.dll (file missing) O2 - BHO: (no name) - {D99E7495-92DE-406C-956C-564A51F8C1A3} - C:\WINDOWS\system32\ddaya.dll (file missing) O2 - BHO: (no name) - {E0EA1F31-B58F-47E8-A185-20C52DF9F168} - C:\WINDOWS\system32\hgggggh.dll O2 - BHO: (no name) - {F724B51A-7686-4479-B668-B39C66B6AE8F} - C:\WINDOWS\system32\mljgd.dll (file missing) O2 - BHO: (no name) - {F724B51A-7686-4479-B668-B39C66B6AE8F} - C:\WINDOWS\system32\mljgd.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background http://pageperso.aol.fr/balltrap34/demohijack.htm Comment fixer les lignes <---- voir ici http://pageperso.aol.fr/balltrap34/demohijack.htm Générer un rapport <----- voir ici ensuite : Ces deux fichiers sont egalement suspects, mais il vaut mieux en etre sur donc : Rend toi sur ce site : http://www.virustotal.com/xhtml/virustotal_en.html Clik sur parcourir Recherche ceci : C:\WINDOWS\system32\vtuts.dll Clik send et colle le rapport stp Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe OTMoveIt (de Old_Timer) sur ton Bureau. double-clique sur OTMoveIt.exe pour le lancer. copie la liste qui se trouve en citation ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. C:\WINDOWS\system32\gebcddd.dll clique sur MoveIt! pour lancer la suppression. le résultat apparaitra dans le cadre "Results". clique sur Exit pour fermer. poste le rapport situé dans C:\_OTMoveIt\MovedFiles. il te sera peut-être demander de redémarrer le pc pour achever la suppression. si c'est le cas accepte par Yes. ensuite refais un passage Vundofix et poste moi rapports suivants stp ! 1) virus total 2) OTmoveIT 3) Vundofix 4)Hijackthis @ suivre........

re ! Télécharge le programme Submit File Packer d'ici redémarre le pc impérativement en mode sans échec=> très important!! Ouvre le programme Submit File Packer et copie/colle les chemins de fichier suivants dans la fenêtre qui s'est ouverte: C:\WINDOWS\system32\WinUpdating.exe C:\WINDOWS\system32\WinSpooler.exe C:\WINDOWS\system\WinSpooler.exe C:\WINDOWS\system\WinUpdating.exe clique sur le bouton"Continue" Cela va créer une archive de ce fichier sur ton bureau nommée "requested files[date].cab" Redémarre ton pc normalement. Stp rend toi sur cette page afin d'héberger le fichier ici > http://www.sendspace.com Clique sur Parcourir pour chercher le fichier en question . Une fois trouvé, sélectionne le puis clique sur le bouton Ouvrir. Coche la case "I have read and agree to the terms of service." Clique enfin sur le bouton Upload File . Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp;

Re : Option 2 ! Double-clique VundoFix.exe afin de le lancer. Ne clique pas sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files?" Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut): C:\WINDOWS\system32\gebcddd.dll Copie/colle le chemin du fichier suivant dans la seconde case (au centre): C:\WINDOWS\system32\hgggggh.dll Clique sur le bouton "Add File(s)" Clique sur le bouton "Close Window" Clique à nouveau sur "Remove Vundo" Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. Remarques : il n y a possibilité que de mettre 3 dll a la fois, apres il faut relancer l outil. @ suivre....

re : Tu es infecté par Vundo, un adware dont la fonction est d'afficher des fenêtres publicitaires intempestives en faisant souvent la promotion de logiciels douteux tels que Spyware Secure. I Il utilise diverses techniques pour tenter d'empêcher sa désinstallation. Attention aux sites que tu visites !!! * Télécharge VundoFix.exe (par Atribune) et enregistre-le sur ton bureau. http://www.atribune.org/content/view/24/2/ * Clique sur le bouton Scan for Vundo. * Lorsque le scan est complété, clique sur le bouton Remove Vundo. * Une invite te demandera si tu veux supprimer les fichiers, clique YES * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. * Tu verra une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK * Copie/colle le contenu du rapport situé dans C:\vundofix.txt Virtumondebegone http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe poste les rapports @ +

Salut ! Pas de lignes 02 ni 020, ça sent l'infection Vundo ! Fais un clic droit sur hijackthis, choisis "renommer" marque (tu écris) : <gras>zebulon</gras>.exe Pourquoi renommer Hijackthis ? Parce que certaines infections Vundo ont la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse . la modification du nom de l'exe pallie ce problème... Poste moi un nouveau log après avoir renommé HJT's ! Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport . @+

Bonjour ! je viens me présenter, car je suppose que c'est de rigueur ( comme partout...) Donc, m'etant passioné de désinfection depuis peu, je viens régulierement consulter ce forum, et ayant reconnu quelques membres, je me suis décidé a m'inscrire à mon tour en esperant pouvoir apprendre d'avantage, et pourquoi pas participer à la vie du site.... Certains me reconnaitrons assez vite lorsque j'aurais affiché un avatar ( je verrais plus tard ) . Cordialement F.C