[résolu] em.gad-network.com,navi-search.com

FREEZESCREEN · le 17 août 2006

voici tous ces fameux rapports, merci encore

C:\WINDOWS\System32\vsconfig.xml -->17/08/2006 15:21:38

C:\WINDOWS\System32\settingsbkup.sfm -->17/08/2006 14:19:52

C:\WINDOWS\System32\settings.sfm -->17/08/2006 14:19:52

C:\WINDOWS\System32\DVCStateBkp-{00000001-00000000-00000008-00001102-00000004-00521102}.dat -->17/08/2006 14:19:52

C:\WINDOWS\System32\DVCState-{00000001-00000000-00000008-00001102-00000004-00521102}.dat -->17/08/2006 14:19:52

C:\WINDOWS\System32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->17/08/2006 14:19:52

C:\WINDOWS\System32\BMXState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->17/08/2006 14:19:52

C:\WINDOWS\System32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->17/08/2006 14:19:52

C:\WINDOWS\System32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->17/08/2006 14:19:52

C:\WINDOWS\System32\wpa.dbl -->16/08/2006 16:48:18

C:\WINDOWS\System32\TUKernel.exe -->12/08/2006 10:26:51

C:\WINDOWS\System32\Uninstall.ico -->10/08/2006 16:31:59

C:\WINDOWS\System32\pavas.ico -->10/08/2006 16:31:59

C:\WINDOWS\System32\Help.ico -->10/08/2006 16:31:59

C:\WINDOWS\System32\MRT.exe -->09/08/2006 21:03:04

C:\WINDOWS\System32\FNTCACHE.DAT -->07/08/2006 22:45:27

C:\WINDOWS\System32\dtu100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\dpl100.dll -->04/08/2006 17:37:37

C:\WINDOWS\System32\MsgPlusLoader.dll -->31/07/2006 13:31:44

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 13:28:08

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19

C:\WINDOWS\System32\qt-dx331.dll -->27/07/2006 04:05:58

C:\WINDOWS\System32\pxmas.dll -->27/07/2006 04:05:54

C:\WINDOWS\System32\pxinsi64.exe -->27/07/2006 04:05:54

C:\WINDOWS\System32\pxinsa64.exe -->27/07/2006 04:05:54

C:\WINDOWS\0.log -->17/08/2006 15:21:45

C:\WINDOWS\wiadebug.log -->17/08/2006 15:21:10

C:\WINDOWS\wiaservc.log -->17/08/2006 15:21:07

C:\WINDOWS\WindowsUpdate.log -->17/08/2006 14:19:35

C:\WINDOWS\SchedLgU.Txt -->17/08/2006 08:50:27

C:\WINDOWS\wmsetup.log -->17/08/2006 07:24:15

C:\WINDOWS\win.ini -->16/08/2006 19:32:00

C:\WINDOWS\system.ini -->16/08/2006 19:32:00

C:\WINDOWS\Sti_Trace.log -->16/08/2006 19:00:12

C:\WINDOWS\icssys.log -->16/08/2006 18:59:43

C:\WINDOWS\WindowsShell.Manifest -->07/05/2006 15:10:33

C:\WINDOWS\explorer.exe -->26/07/2005 17:01:30

C:\WINDOWS\notepad.exe -->19/08/2004 18:10:00

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 948E-5DE1

Répertoire de C:\WINDOWS\system32

19/08/2004 18:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 54 925 729 792 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 948E-5DE1

Répertoire de C:\WINDOWS\Downloaded Program Files

15/08/2006 20:38 <REP> .

15/08/2006 20:38 <REP> ..

15/08/2006 18:14 <REP> CONFLICT.1

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

19/04/2006 14:26 1 363 968 PIXACODnDUpload.ocx

22/06/2006 11:41 5 032 swflash.inf

3 fichier(s) 1 370 162 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

15/08/2006 18:14 <REP> .

15/08/2006 18:14 <REP> ..

0 fichier(s) 0 octets

Total des fichiers listés :

3 fichier(s) 1 370 162 octets

5 Rép(s) 54 925 729 792 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 948E-5DE1

Répertoire de C:\Program Files

15/08/2006 18:04 <REP> .

15/08/2006 18:04 <REP> ..

10/05/2006 11:38 <REP> Adobe

15/05/2006 09:11 <REP> Ahead

10/08/2006 16:39 <REP> AntiVir PersonalEdition Classic

26/06/2006 16:50 <REP> Autoruns

01/06/2006 23:30 <REP> CCleaner

19/06/2006 00:41 <REP> Common Files

07/05/2006 15:08 <REP> ComPlus Applications

08/05/2006 23:30 <REP> Creative

10/08/2006 22:24 <REP> DivX

10/07/2006 12:21 <REP> Everest Poker

16/08/2006 19:32 <REP> ewido anti-malware

15/08/2006 18:04 <REP> Fichiers communs

17/08/2006 15:56 <REP> hijack

26/06/2006 12:34 <REP> Includes

11/08/2006 11:13 <REP> Internet Explorer

01/08/2006 20:45 <REP> InternetGameBox

08/06/2006 19:30 <REP> Java

10/08/2006 16:40 <REP> MessengerPlus! 3

07/05/2006 15:12 <REP> microsoft frontpage

14/07/2006 12:17 <REP> Microsoft Office

21/07/2006 15:53 <REP> Motive

07/05/2006 15:12 <REP> movie maker

07/05/2006 15:12 <REP> msn gaming zone

10/08/2006 16:40 <REP> MSN Messenger

07/05/2006 15:09 <REP> NetMeeting

09/05/2006 15:38 <REP> Outlook Express

07/05/2006 15:10 <REP> Services en ligne

10/08/2006 16:40 <REP> Spybot - Search & Destroy

10/08/2006 16:41 <REP> Unlocker

02/08/2006 12:48 <REP> VideoLAN

10/08/2006 16:41 <REP> Windows Media Player

07/05/2006 15:12 <REP> Windows NT

10/08/2006 16:41 <REP> WinRAR

07/05/2006 15:12 <REP> xerox

12/06/2006 23:45 <REP> Zone Labs

0 fichier(s) 0 octets

37 Rép(s) 54 925 725 696 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 948E-5DE1

Répertoire de C:\Program Files\fichiers communs

15/08/2006 18:04 <REP> .

15/08/2006 18:04 <REP> ..

10/05/2006 11:38 <REP> Adobe

15/05/2006 09:11 <REP> Ahead

14/07/2006 12:13 <REP> Designer

06/07/2006 19:49 <REP> InstallShield

21/05/2006 00:14 <REP> Java

30/07/2006 22:01 <REP> Microsoft Shared

07/05/2006 15:09 <REP> MSSoap

07/05/2006 17:03 <REP> ODBC

07/05/2006 15:09 <REP> Services

11/06/2006 23:24 <REP> Softwin

07/05/2006 17:03 <REP> SpeechEngines

09/05/2006 15:38 <REP> System

0 fichier(s) 0 octets

14 Rép(s) 54 925 725 696 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 948E-5DE1

Répertoire de C:\Program Files\common files

19/06/2006 00:41 <REP> .

19/06/2006 00:41 <REP> ..

21/07/2006 15:52 <REP> Motive

0 fichier(s) 0 octets

3 Rép(s) 54 925 725 696 octets libres

c:\Documents and Settings\Admin\Application Data\Microsoft\Installer\{DBAA6058-4960-4A46-8E84-4D71F23F3A84}\ARPPRODUCTICON.exe

c:\Documents and Settings\Admin\Application Data\Microsoft\Installer\{DBAA6058-4960-4A46-8E84-4D71F23F3A84}\UnInst.exe

c:\Documents and Settings\Admin\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Admin\Bureau\blbeta.exe

c:\Documents and Settings\Admin\Bureau\chercher\LFiles.exe

c:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe

c:\Documents and Settings\Admin\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

---------------------------------------------------------------------------------------------------------------------

08/17/06 16:07:24 [info]: BlackLight Engine 1.0.46 initialized

08/17/06 16:07:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/17/06 16:07:24 [Note]: 7019 4

08/17/06 16:07:24 [Note]: 7005 0

08/17/06 16:07:52 [Note]: 7006 0

08/17/06 16:07:52 [Note]: 7011 1968

08/17/06 16:07:53 [Note]: 7026 0

08/17/06 16:07:53 [Note]: 7024 3

08/17/06 16:07:53 [info]: Hidden process: C:\windows\system32\omtzqf.exe

08/17/06 16:07:53 [Note]: FSRAW library version 1.7.1019

08/17/06 16:08:26 [info]: Hidden file: c:\WINDOWS\system32\omtzqf.dat

08/17/06 16:08:26 [Note]: 10002 1

08/17/06 16:08:26 [info]: Hidden file: C:\windows\system32\omtzqf.exe

08/17/06 16:08:26 [Note]: 10002 1

08/17/06 16:08:26 [info]: Hidden file: c:\WINDOWS\system32\omtzqf_nav.dat

08/17/06 16:08:26 [Note]: 10002 1

08/17/06 16:08:27 [info]: Hidden file: c:\WINDOWS\system32\omtzqf_navps.dat

08/17/06 16:08:27 [Note]: 10002 1

08/17/06 16:08:46 [info]: Hidden file: c:\WINDOWS\Prefetch\OMTZQF.EXE-0BCA82CB.pf

08/17/06 16:08:46 [Note]: 10002 1

08/17/06 16:10:54 [Note]: 7007 0

--------------------------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 15:56:47, on 17/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer pour Alex

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} -

O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) -

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) -

O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} (Java Plug-in) -

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_07) -

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: ,MsgPlusLoader.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-------------------merci encore--------------------------------------------------------------------------

salut FREEZESCREEN

Le rapport Smitfraudfix ne montre rien du tout. Poste plutôt un rapport hijackthis stp ainsi qu'un rapport fait comme ceci =>

- Télécharge chercher.zip sur ton bureau

Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

Un nouveau dossier chercher va être créé

Ouvre le et double-clic sur chercher.cmd

Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

A nouveau menu Edition / copier

Dans un nouveau message ici, faire un clic droit / coller

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Voilà , avec ca on verra si Edgaccess est présent,ce qui ne m'étonnerait pas!

Poste les rapports de chercher.cmd , le rapport hijackthis, le rapport Blacklight.

@+

Thanos · le 17 août 2006

salut

FREEZESCREEN , est ce que tu as lu mon message plus haut?? =>

FREEZESCREEN , ne poste pas plusieurs topics pour la même discussion stp!!fais une recherche sur ce que tu as déjà posté!
sans ca ,on fait des analyses pour rien! je t'avais répondu ici =>

http://forum.zebulon.fr/index.php?showtopic=101759

tu postes à deux endroits différents et ca peut fausser l'analyse!!! alors que le rapport de silent runners que tu postes ici ne montre pas d'infection, sur l'autre discussion que tu as ouverte, Blacklight (que je t'ai fait passer sans savoir que tu avais déjà commencé à faire la désinfection ici) montre une infection par Edgaccess.

C'est pas cool pour nardino qui n'est pas au courant!!

continue ta discussion ici stp. nardino , tu peux voir le rapport de Blacklight dans l'autre discussion =>

http://forum.zebulon.fr/index.php?showtopic=101759

je te laisse t'occuper de Edgaccess

@+

Modifié le 17 août 2006 par charles ingals

nardino · le 17 août 2006

Bonsoir.

A la demande de charles ingals, que je salue au passage, je reprends le cours.

Il te faut peut-être passer l'autre question en "résolu".

Télécharge Brute Force Uninstaller.

http://www.merijn.org/files/bfu.zip

Décompresse-le dans un dossier du même nom que tu crées où tu veux, par exemple à la racine du système comme suit : C:\BFU

Ouvre ce lien :

http://metallica.geekstogo.com/EGDACCESS.bfu

Clique droit dessus et choisis "Enregistrer sous" afin de télécharger EGDACCESS.bfu Remover, type "Tous les fichiers".

Dans le dossier créé au dessus par exemple C:\BFU.

Démarre Brute Force Uninstaller en double-cliquant sur BFU.exe

Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu

Clique sur Execute et attends que Complete script execution apparaîsse et clique sur OK.

Clique sur exit pour fermer BFU.

Et puis donne des nouvelles du fonctionnement de ta machine.

Bonne soirée.

Modifié le 17 août 2006 par nardino

nardino · le 17 août 2006

Merci charles ingals.

J'allais en effet faire appel à Blacklighgt.

Bonne soirée.

ipl_001 · le 17 août 2006

Bonsoir FREEZESCREEN, charles ingals, nardino, bonsoir à tous,

J'ai fusionné les 2 sujets, j'espère que le résultat sera lisible (imbrication de sposts dans l'ordre chronologique)!

FREEZESCREEN · le 19 août 2006

Desolé pour les differents post.

J'ai ouvert le lien "http://metallica.geekstogo.com/EGDACCESS.bfu" mais j'ai pas compris comment faire. Il y avait tout un texte, alors j'ai tout selectionné j'ai essayé le copie/coller mais ca ne va pas. alors j'ai cliqué a droite de "scriptline to execute", le dossier jaune et j'ai recherché le fichier du lien "http://metallica.geekstogo.com/EGDACCESS.bfu", j'ai ouvert et j'ai lancer brute force.il a travailler un peu et voila. mais j'ai toujours les meme pages qui s'ouvre,"navi-search.com""em.gad-network.com""fr.systemdoctor.com" et des pubs...

Bonsoir.

A la demande de charles ingals, que je salue au passage, je reprends le cours.

Il te faut peut-être passer l'autre question en "résolu".

Télécharge Brute Force Uninstaller.

http://www.merijn.org/files/bfu.zip

Décompresse-le dans un dossier du même nom que tu crées où tu veux, par exemple à la racine du système comme suit : C:\BFU

Ouvre ce lien :

http://metallica.geekstogo.com/EGDACCESS.bfu

Clique droit dessus et choisis "Enregistrer sous" afin de télécharger EGDACCESS.bfu Remover, type "Tous les fichiers".

Dans le dossier créé au dessus par exemple C:\BFU.

Démarre Brute Force Uninstaller en double-cliquant sur BFU.exe

Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu

Clique sur Execute et attends que Complete script execution apparaîsse et clique sur OK.

Clique sur exit pour fermer BFU.

Et puis donne des nouvelles du fonctionnement de ta machine.

Bonne soirée.

nardino · le 22 août 2006

Bonjour.

En image.

Tu crées un dossier comme dans mon exemple _Brut Force Uninstaller où tu veux (ici Program Files)

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Tu enregistres le script EGDACCESS.bfu dans le même dossier que celu où tu as mis BFU.exe

Tu ouvres le lien et dans Fichier-Enregistrer sous tu choisis ce dossier et tu conserve le nom affiché.

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Quand tu cliques sur l'icône "dossier" à droite de la barre "Script to execute" cela te conduit sur EGDACCESS.bfu

Tu valides et ensuite tu cliques sur "Execute".

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Et tu quittes quand le nettoyage est terminé.

Et donnes des nouvelles de la situation.

Bonne journée.

Modifié le 22 août 2006 par nardino

FREEZESCREEN · le 24 août 2006

Tu as quand meme regarder mes rapport?(post15) J'ai toujours autant de pubs et tout le reste.alors j'ai instalé un petit logiciel qui s'appel "anti-pub". Mais c'est des gros malin, y'a la meme pub mais sous un autre nom. bref, qu'est ce que "DHKDSK" Je ne peux pas faire de defrag a cause ca. Aussi, ntdlr? j'ai fait un gros nettoyage sur le pc d'un ami, mais un peu trop.Alors il ne voulait plus redemarrer, il mettai un ecran noir en disant"NTDLR manquant appuyer sur ctrl alt supp pour redmarrer".et c'est tous ce qe l'on pouvait faire.Alors j'ai du mettre le cd windows pour faire une restauration... Quand antivir trouve des warning, comment peut on les enlever? merci encore de votre aide a tous

Bonjour.

En image.

Tu crées un dossier comme dans mon exemple _Brut Force Uninstaller où tu veux (ici Program Files)

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Tu enregistres le script EGDACCESS.bfu dans le même dossier que celu où tu as mis BFU.exe

Tu ouvres le lien et dans Fichier-Enregistrer sous tu choisis ce dossier et tu conserve le nom affiché.

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Quand tu cliques sur l'icône "dossier" à droite de la barre "Script to execute" cela te conduit sur EGDACCESS.bfu

Tu valides et ensuite tu cliques sur "Execute".

http://www.image-dream.com/image.php?image...p;pseudo=anonym

Et tu quittes quand le nettoyage est terminé.

Et donnes des nouvelles de la situation.

Bonne journée.

nardino · le 24 août 2006

Je crois que tu te disperses un peu.

Si on attaque plusieurs problèmes en même temps on ne va pas s'en sortir.

Où en 'es-tu de la procédure avec BFU ?

Reposte un log avec Blacklight et un log Hijackthis établi en mode normal.

FREEZESCREEN · le 26 août 2006

ok. j'ai peu etre l'air bete, mais le script egdaccess_bfu je le met bien au format .txt quand je l'enregistre?

Sinon voici les rapport highjack et blacklight. Et avant de faire ca j'ai executé clenmgr, atf-cleaner et cleaner.

Logfile of HijackThis v1.99.1

Scan saved at 09:53:13, on 26/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Antipub\antipub.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://numericable.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =