Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

generic.botget Hijackthis


tackent

Messages recommandés

salut :P

 

Oui le dossier $IPC est normal je pense c'est utilisé pour les connexions temporaires .Dis moi , est ce que tu vois encore c:\WINNT qui est en partage après avoir lancé le fichier remadmin.reg ( qui doit désactiver le partage administratif) puis redémarré le pc? Est ce que tu peux poster le résultat du fichier "inspect.bat" stp: des restrictions importantes ont du être mises et je voudrais m'en assurer.

 

Si le fichier reg ne donne rien , est ce que tu peux faire ceci =>

Dans le Panneau de configuration, double-cliquez sur "Administrative Tools", puis sur "Computer Management".

2. Développez "Shared Folders", puis cliquez sur "Shares".

3. Dans la colonne "Shared Folder", cliquez avec le bouton droit sur le partage à supprimer, cliquez sur "Stop sharing", puis sur OK.

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

n'ayant rien qui s'ouvre (seulement un fenetre cmd qui s'ouvre et se referme aussitot),

je te poste le fichier lsa.txt qui se trouve sous c:\

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\AdminComponent]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:00000095

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]

"DisableRegistryTools"=dword:00000000

 

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"NoUpdateCheck"=dword:00000000

"NoJITSetup"=dword:00000000

"Show_ChannelBand"="No"

"Anchor Underline"="yes"

"Cache_Update_Frequency"="Once_Per_Session"

"Display Inline Images"="yes"

"Do404Search"=hex:01,00,00,00

"Local Page"="C:\\WINNT\\system32\\blank.htm"

"Save_Session_History_On_Exit"="no"

"Show_FullURL"="no"

"Show_StatusBar"="yes"

"Show_ToolBar"="yes"

"Show_URLinStatusBar"="yes"

"Show_URLToolBar"="yes"

"Start Page"="http://www.google.ch/"

"Use_DlgBox_Colors"="yes"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Q261272"="yes"

"FullScreen"="no"

"Window_Placement"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,\

ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,00,00,00,00,00,00,00,e8,03,00,00,b6,02,00,\

00

"Use FormSuggest"="no"

"NotifyDownloadComplete"="yes"

"Error Dlg Displayed On Every Error"="no"

"Error Dlg Details Pane Open"="no"

"AddToFavoritesExpanded"=dword:00000000

"AutoSearch"=dword:00000005

"Disable Script Debugger"="yes"

"DisableScriptDebuggerIE"="yes"

"ShowedCheckBrowser"="Yes"

"Check_Associations"="No"

"Expand Alt Text"="no"

"Move System Caret"="no"

"NscSingleExpand"=dword:00000001

"NoWebJITSetup"=dword:00000000

"Page_Transitions"=dword:00000001

"FavIntelliMenus"="no"

"Enable Browser Extensions"="yes"

"Force Offscreen Composition"=dword:00000000

"AllowWindowReuse"=dword:00000001

"Friendly http errors"="yes"

"ShowGoButton"="yes"

"SmoothScroll"=dword:00000001

"Enable AutoImageResize"="yes"

"Enable_MyPics_Hoverbar"="yes"

"Play_Animations"="yes"

"Play_Background_Sounds"="yes"

"Display Inline Videos"="yes"

"Show image placeholders"=dword:00000000

"Print_Background"="no"

"LastCheckedHi"=dword:01c6fe00

 

La fin de ce fichier est illisible (petit carré sur 3 lignes!).

 

.JE vais maintenant rebooter et voir si le share est toujours la.

Lien vers le commentaire
Partager sur d’autres sites

re!

 

ok tackent on va ajouter cette valeur dans le registre :

 

Elimine le fichier regadmin.reg , on en crée un autre =>

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoshareWks"=dword:00000000

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: remove.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes.

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: fichierreg7bs.gif

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

*Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

Redémarre le pc normalement(très important) pour que les modifications soient prises en compte et retourne dans "Administrative Tools", puis sur "Computer Management" et regarde si le répertoire n'est plus là.

Normalement ca devrait marcher.(ca marche sur mon pc!)

 

Voilà à quoi ca devrait ressembler => 85aa60b4.gif

Ou en es tu des alertes de ton antivirus ? après avoir fais ceci et si le résultat est positif , poste un nouveau rapport Combofix. Après ca on vire les services infectés :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Ok. plus de remote admin.

L'antivirus s'est bien calmé.

 

Combofix :

 

Dorella - sam. 11.11.2006 11:26:08.42 Service Pack 4

ComboFix 06.10.19 - Running from: "C:\antivirus\ComboFix"

 

((((((((((((((((((((((((((((((( Files Created from 2006-10-11 to 2006-11-11 ))))))))))))))))))))))))))))))))))

 

 

2006-11-08 18:13 147,968 --a------ C:\WINNT\system32\msconfig.exe

2006-11-06 23:19 971,536 --a------ C:\WINNT\system32\sfcfiles.dll

2006-11-06 23:19 76,048 --a------ C:\WINNT\system32\cryptsvc.dll

2006-11-06 23:19 69,904 --a------ C:\WINNT\system32\browser.dll

2006-11-06 23:19 61,200 --a------ C:\WINNT\system32\CRYPTNET.DLL

2006-11-06 23:19 57,104 --a------ C:\WINNT\system32\w32tm.exe

2006-11-06 23:19 543,504 --a------ C:\WINNT\system32\CRYPT32.DLL

2006-11-06 23:19 54,544 --a------ C:\WINNT\system32\mpr.dll

2006-11-06 23:19 520,976 --a------ C:\WINNT\system32\LSASRV.DLL

2006-11-06 23:19 50,960 --a------ C:\WINNT\system32\w32time.dll

2006-11-06 23:19 47,888 --a------ C:\WINNT\system32\EVENTLOG.DLL

2006-11-06 23:19 442,640 --a------ C:\WINNT\system32\ipnathlp.dll

2006-11-06 23:19 42,256 --a------ C:\WINNT\system32\BASESRV.DLL

2006-11-06 23:19 403,216 --a------ C:\WINNT\system32\USER32.DLL

2006-11-06 23:19 385,808 --a------ C:\WINNT\system32\USERENV.DLL

2006-11-06 23:19 371,472 --a------ C:\WINNT\system32\NETLOGON.DLL

2006-11-06 23:19 335,120 --a------ C:\WINNT\system32\MSGINA.DLL

2006-11-06 23:19 27,920 --a------ C:\WINNT\system32\umandlg.dll

2006-11-06 23:19 253,200 --a------ C:\WINNT\system32\scesrv.dll

2006-11-06 23:19 236,304 --a------ C:\WINNT\system32\CMD.EXE

2006-11-06 23:19 181,520 --a------ C:\WINNT\system32\WINLOGON.EXE

2006-11-06 23:19 167,184 --a------ C:\WINNT\system32\WINTRUST.DLL

2006-11-06 23:19 143,120 --a------ C:\WINNT\system32\SCHANNEL.DLL

2006-11-06 23:19 115,984 --a------ C:\WINNT\system32\PSBASE.DLL

2006-11-06 23:19 111,376 --a------ C:\WINNT\system32\scecli.dll

2006-11-06 23:19 1,028,880 --a------ C:\WINNT\system32\ntdsa.dll

2006-10-18 18:15 3,968 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys

2006-10-18 18:10 20,640 --------- C:\WINNT\system32\drivers\PxHelp20.sys

2006-10-18 18:10 109,568 --------- C:\WINNT\system32\pxinsi64.exe

2006-10-18 18:10 108,544 --------- C:\WINNT\system32\pxcpyi64.exe

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2006-11-07 18:23 -------- d-------- C:\Program Files\WinRAR

2006-10-30 22:38 -------- d-------- C:\Program Files\VoipCheapCom

2006-10-18 18:15 -------- d-------- C:\Program Files\Grisoft

2006-10-18 18:15 -------- d-------- C:\Documents and Settings\Dorella\Application Data\DivX

2006-10-18 18:10 -------- d-------- C:\Program Files\DivX

2006-10-08 12:13 -------- d-------- C:\Program Files\Spyware Doctor

2006-10-08 12:13 -------- d-------- C:\Documents and Settings\Dorella\Application Data\PC Tools

2006-10-08 12:12 -------- d-------- C:\Documents and Settings\Dorella\Application Data\Talkback

2006-10-02 21:04 806912 --a------ C:\WINNT\system32\divx_xx0c.dll

2006-10-02 21:04 806912 --a------ C:\WINNT\system32\divx_xx07.dll

2006-10-02 21:04 790528 --a------ C:\WINNT\system32\divx_xx11.dll

2006-10-02 21:04 635486 --a------ C:\WINNT\system32\DivX.dll

2006-09-15 18:42 21840 --a------ C:\WINNT\system32\SIntfNT.dll

2006-09-15 18:42 17212 --a------ C:\WINNT\system32\SIntf32.dll

2006-09-15 18:42 12067 --a------ C:\WINNT\system32\SIntf16.dll

2006-09-12 12:48 1713536 --a------ C:\WINNT\system32\NTKRNLPA.EXE

2006-09-12 12:48 1690880 --a------ C:\WINNT\system32\NTOSKRNL.EXE

2006-08-11 01:04 73728 --a------ C:\WINNT\system32\dpl100.dll

2006-08-11 01:03 196608 --a------ C:\WINNT\system32\dtu100.dll

2006-08-03 19:02 457 --a------ C:\Program Files\INSTALL.LOG

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries are not shown

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"SiS Tray"="C:\\WINNT\\system32\\sistray.EXE"

"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

"BDMCon"="\"C:\\Program Files\\Softwin\\BitDefender10\\bdmcon.exe\" /reg"

"BDAgent"="\"C:\\Program Files\\Softwin\\BitDefender10\\bdagent.exe\""

"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

"Synchronization Manager"="mobsync.exe /logon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000003

"Settings"=dword:00000001

"GeneralFlags"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

"Flags"=dword:00000002

"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\

00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

"CurrentState"=hex:04,00,00,40

"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\

ff,ff,04,00,00,00

"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\

00,00,01,00,00,00

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"="C:\\Program Files\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000095

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000095

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

Completion time: Sat 2006-11-11 11:30:08.80

C:\ComboFix.txt ... 06-11-11 11:30

C:\ComboFix3.txt ... 06-11-06 22:43

C:\ComboFix2.txt ... 06-11-06 23:33

 

MErci et bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

ok :P ca n'a pas l'air mal tout ca !

L'antivirus s'est bien calmé.

Pourvu que ca dure :P

 

Je te prépare un petit script pour éliminer les clés infectés et il y aura un petit scan antivirus avec escan antivirus toolkit à faire en mode sans échec pour nous assurer que tout est correctement désinfecté .

 

@ tout de suite !

Lien vers le commentaire
Partager sur d’autres sites

Note: copie/colle les instructions dans un fichier texte pour l'étape 2 , car tu n'auras pas accès au net.

 

Étape 1:

 

Télécharge RegDACL de Frank Heyne sur le Bureau

http://www.heysoft.de/nt/reg/doc/RegDACLE.zip

  • Crée un dossier Regdacl sur le Bureau comme ceci=>
  • Clic droit sur un espace vide du Bureau
  • Sélectionne Nouveau Dossier sur le menu et le nommer Regdacl
  • Dézippe les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau.
     
  • Copie / colle le texte suivant dans le Bloc-Notes (sans le mot "code").

@echo off
echo %DATE% %TIME% >fixme.txt
For %%i in ("HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32","HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32","HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32","HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel.toto","HKLM\SYSTEM\ControlSet001\Services\Win32Kernel.toto","HKLM\SYSTEM\ControlSet002\Services\Win32Kernel.toto") Do regdacl %%i /GGE:F(CI) -ANSI>>fixme.txt
ping 1.1.1.1 -n 1 -w 1000>NUL
type fixme.txt | find /v /i "RegDACL 5.1" > newfix.txt
Del fixme.txt
type newfix.txt | find /v /i "Copyright" > fixme.txt
del newfix.txt
type fixme.txt | find /v /i "Freeware" > newfix.txt
del fixme.txt
type newfix.txt > fixme.txt
del newfix.txt
echo.>>fixme.txt
echo ==========>>fixme.txt
echo.>>fixme.txt
(echo Effacement de HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32
reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32 /f
echo.....
echo Effacement de HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32
reg delete HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32 /f
echo.....
echo Effacement de HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32
reg delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32 /f
echo.....
echo Effacement de HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel.toto
reg delete HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel.toto /f
echo.....
echo Effacement de HKLM\SYSTEM\ControlSet001\Services\Win32Kernel.toto
reg delete HKLM\SYSTEM\ControlSet001\Services\Win32Kernel.toto /f
echo.....
echo Effacement de HKLM\SYSTEM\ControlSet002\Services\Win32Kernel.toto
reg delete HKLM\SYSTEM\ControlSet002\Services\Win32Kernel.toto /f
)>logit.txt 2>&1
type logit.txt >> fixme.txt
start fixme.txt

  • Va en haut de page et clique sur le menu"Fichier" : une liste apparait=>
  • Choisis "Enregistrer sous" et choisis le dossier Regdacl.
  • Dans le champs "Nom du fichier" en bas de page donne le nom suivant:klegacy.bat
  • Dans le champs"Type" en bas de page ,choisis: tous les fichiers(pas comme un document texte).
  • Ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
  • Quitte le Bloc Notes
  • Le fichier que tu as créé doit ressembler à ca=> fichierbatch4aw.gif
  • Ouvre le dossier Regdacl sur le Bureau, double-clique sur klegacy.bat. Une fenêtre DOS sera visible un cour instant, ceci est normal.
    Le Bloc-Notes ouvrira fixme.txt, poste le contenu s.t.p.

Étape 2:

  • Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
     
  • Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
     
  • Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !
     
     
  • Redémarre en mode Sans Échec :
     
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur
     
     
  • Double-clique sur ATF-Cleaner.exe afin de lancer le programme.
     
    Pour internet explorer=>
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Pour Firefox=>
    Sous l'onglet Firefox, choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    Clique Exit, du menu prinicipal, afin de fermer le programme.
     
    Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :
    • Ouvre Firefox et clique sur Outils=> Options
    • Clique sur l'onglet Vie Privée
    • clique sur le bouton Vider le cache dans l'onglet "Historique"
    • clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
    • clique sur le bouton Vider le cache dans l'onglet "Cache"
    • clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.

     

     

    [*]Du mode Sans Échec, voici comment utiliser eScan Antivirus Toolkit :

     

    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

     

    2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

     

    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

     

    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

     

    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

     

    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

     

    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

     

     

    [*]Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Comme le batch n'a semble-t-il pas fonctionné correctement, j'ai enlevé les clés de registry mentionnées a la main ...

 

fixme:

 

sam. 11.11.2006 17:58:37.30

 

 

 

Granting "F(CI)" access for really "Everyone"

- changing existing entry

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- really "Everyone" has already all permissions you want to grant

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- changing existing entry

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- adding new entry

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- really "Everyone" has already all permissions you want to grant

 

 

 

 

Granting "F(CI)" access for really "Everyone"

- adding new entry

 

 

==========

 

Effacement de HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32

'reg' is not recognized as an internal or external command,

operable program or batch file.

....

Effacement de HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32

'reg' is not recognized as an internal or external command,

operable program or batch file.

....

Effacement de HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32

'reg' is not recognized as an internal or external command,

operable program or batch file.

....

Effacement de HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel.toto

'reg' is not recognized as an internal or external command,

operable program or batch file.

....

Effacement de HKLM\SYSTEM\ControlSet001\Services\Win32Kernel.toto

'reg' is not recognized as an internal or external command,

operable program or batch file.

....

Effacement de HKLM\SYSTEM\ControlSet002\Services\Win32Kernel.toto

'reg' is not recognized as an internal or external command,

operable program or batch file.

 

 

Et voici le rapport escan:

 

 

File C:\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.

 

Et bien bonne nuit. :P

Lien vers le commentaire
Partager sur d’autres sites

salut tackent :P

 

Ok! peut être provoqué par une valeur du registre qui n'est pas ce qu'elle devrait être!! du coup le batch ne fonctionne pas! Poste stp le résultat de ceci =>

 

Voila un script d'export qui permet de contrôler si le problème est présent (merci miekiemoes):

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") :

 

C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /s >> look.txt
start notepad look.txt

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:look.bat

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes.

 

Le fichier que tu as créé doit ressembler à ca=> fichierbatch4aw.gif

 

*Double clique sur le fichier look.bat pour qu'il s'exécute. Un rapport look.txt est créé et s'ouvre automatiquement, affichant le contenu de la clé : poste le stp.

 

Le rapport de scan d'escan est niquel!! Toujours pas d'alertes de l'antivirus??

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

En fait, le fichier reg.exe n'est pas present sur ma machine.

 

Alors j'ai fait un export de la registry demandée, je ne sais pas si ca peut aider.

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]

"ComSpec"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\

00,6d,00,64,00,2e,00,65,00,78,00,65,00,00,00

"Os2LibPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

6f,00,73,00,32,00,5c,00,64,00,6c,00,6c,00,3b,00,00,00

"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,3b,00,25,00,\

53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,3b,00,25,\

00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,\

53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,62,00,65,00,6d,\

00,3b,00,63,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,20,00,\

46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,\

00,66,00,74,00,20,00,53,00,51,00,4c,00,20,00,53,00,65,00,72,00,76,00,65,00,\

72,00,5c,00,39,00,30,00,5c,00,54,00,6f,00,6f,00,6c,00,73,00,5c,00,62,00,69,\

00,6e,00,6e,00,5c,00,00,00

"windir"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,00,00

"OS"="Windows_NT"

"PROCESSOR_ARCHITECTURE"="x86"

"PROCESSOR_LEVEL"="15"

"PROCESSOR_IDENTIFIER"="x86 Family 15 Model 2 Stepping 4, GenuineIntel"

"PROCESSOR_REVISION"="0204"

"NUMBER_OF_PROCESSORS"="1"

"PATHEXT"=".COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH"

"TEMP"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,54,00,45,00,4d,00,50,00,00,00

"TMP"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,\

25,00,5c,00,54,00,45,00,4d,00,50,00,00,00

"VS80COMNTOOLS"="C:\\Program Files\\Microsoft Visual Studio 8\\Common7\\Tools\\"

 

 

Voila , et toujours pas d'alerte avec l'antivirus. Ca me semble bon !!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...