critical systeme erroor

Thanos · le 27 novembre 2006

ouaip ! encore du nettoyage micka

Alons y (c'est plus rapide ):

1) Passe par le Paneau de configuration > Ajouter/Supprimer des Programmes et élimine les programmes suivants:

OIN

BoontyBox 2.1

888Bar

Safety Alert 2006 => tu connais ? sinon désinstalle!

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2) Télécharge combofix.exe de sUBs

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
Si le rapport est trop long, poste le en deux fois.

3) Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Donc 3 rapports à poster stp + un nouveau rapport hijackthis(après ces 3 là)!! car une infection se planque, il faut la débusquer! (tu vois l'intérêt du firewall + antivirus? )

Tu pourras quand on aura fini, faire un scan du pc(on verra ca plus tard!)

Allez!!après ca nettoyage du reste

Modifié le 27 novembre 2006 par charles ingals

micka · le 27 novembre 2006

ouaip ! encore du nettoyage micka

Alons y (c'est plus rapide ):

1) Passe par le Paneau de configuration > Ajouter/Supprimer des Programmes et élimine les programmes suivants:

OIN

BoontyBox 2.1

888Bar

Safety Alert 2006 => tu connais ? sinon désinstalle!

2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton Remove Vundo

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2) Télécharge combofix.exe de sUBs

Assure toi que tous les programmes sont fermés avant de lancer le fix!

Fait un double clique sur combofix.exe.

Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

Si le rapport est trop long, poste le en deux fois.

3) Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Donc 3 rapports à poster stp + un nouveau rapport hijackthis(après ces 3 là)!! car une infection se planque, il faut la débusquer! (tu vois l'intérêt du firewall + antivirus? )

Tu pourras quand on aura fini, faire un scan du pc(on verra ca plus tard!)

Allez!!après ca nettoyage du reste

bonjour les amis

voici j'ai fait se que tu ma demander charles

les 3 rapport

VUNDO fIX

Checking Java version...

Sun Java not detected

Scan started at 12:39:40 27/11/2006

Listing files found while scanning....

F:\WINDOWS\system32\pmnnm.dll

F:\WINDOWS\system32\mnnmp.ini

F:\WINDOWS\system32\mnnmp.bak1

F:\WINDOWS\system32\mnnmp.bak2

F:\WINDOWS\system32\mnnmp.ini2

F:\WINDOWS\system32\pmnnm.dll

F:\WINDOWS\system32\mnnmp.ini

F:\WINDOWS\system32\mnnmp.bak1

F:\WINDOWS\system32\mnnmp.bak2

F:\WINDOWS\system32\mnnmp.ini2

F:\WINDOWS\system32\mnnmp.ini

F:\WINDOWS\system32\mnnmp.bak1

F:\WINDOWS\system32\mnnmp.bak2

F:\WINDOWS\system32\mnnmp.ini2

Beginning removal...

Attempting to delete F:\WINDOWS\system32\pmnnm.dll

F:\WINDOWS\system32\pmnnm.dll Could not be deleted.

Attempting to delete F:\WINDOWS\system32\mnnmp.ini

F:\WINDOWS\system32\mnnmp.ini Has been deleted!

Attempting to delete F:\WINDOWS\system32\mnnmp.bak1

F:\WINDOWS\system32\mnnmp.bak1 Has been deleted!

Attempting to delete F:\WINDOWS\system32\mnnmp.bak2

F:\WINDOWS\system32\mnnmp.bak2 Has been deleted!

Attempting to delete F:\WINDOWS\system32\mnnmp.ini2

F:\WINDOWS\system32\mnnmp.ini2 Has been deleted!

Attempting to delete F:\WINDOWS\system32\pmnnm.dll

F:\WINDOWS\system32\pmnnm.dll Could not be deleted.

Performing Repairs to the registry.

Done!

Beginning removal...

Attempting to delete F:\WINDOWS\system32\pmnnm.dll

F:\WINDOWS\system32\pmnnm.dll Has been deleted!

Performing Repairs to the registry.

Done!

COMBO FIX RAPPORT

moi - 06-11-27 13:04:31,29 Service Pack 2

ComboFix 06.11.27W - Running from: "F:\Documents and Settings\moi\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

F:\WINDOWS\system32\bszip.dll

F:\WINDOWS\system32\components

F:\Program Files\Fichiers communs\{38290638-095F-1036-1023-020211050021}

F:\Program Files\Fichiers communs\{C8290638-095F-1036-1023-020211050021}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

F:\QooBox\Purity\Documents and Settings\moi\Application Data\YMANTE~1

F:\QooBox\Purity\Documents and Settings\moi\Application Data\YMANTE~1\?ymantec

F:\QooBox\Purity\Documents and Settings\moi\Mes documents\ICROSO~1

((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 ))))))))))))))))))))))))))))))))))

2006-11-27 12:39 <REP> d-------- F:\VundoFix Backups

2006-11-26 23:31 57,384 --a------ F:\WINDOWS\system32\avsda.dll

2006-11-26 23:31 32,768 --a------ F:\WINDOWS\system32\drivers\avgntdd.sys

2006-11-26 23:31 14,848 --a------ F:\WINDOWS\system32\drivers\avgntmgr.sys

2006-11-26 23:31 <REP> d-------- F:\Program Files\AntiVir PersonalEdition Classic

2006-11-26 23:31 <REP> d-------- F:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2006-11-26 22:17 <REP> d-------- F:\Program Files\HijackThis);

2006-11-26 22:06 484 --a------ F:\WINDOWS\system32\tmp.reg

2006-11-26 22:05 53,248 --a------ F:\WINDOWS\system32\Process.exe

2006-11-26 22:05 40,960 --a------ F:\WINDOWS\system32\swsc.exe

2006-11-26 22:05 288,417 --a------ F:\WINDOWS\system32\SrchSTS.exe

2006-11-26 22:05 135,168 --a------ F:\WINDOWS\system32\swreg.exe

2006-11-26 18:44 <REP> d-------- F:\Program Files\xp-AntiSpy

2006-11-25 17:30 <REP> d-------- F:\WINDOWS\Web

2006-11-25 17:27 <REP> d-------- F:\WINDOWS\WBEM

2006-11-25 17:27 <REP> d-------- F:\WINDOWS\system32\fr-fr

2006-11-25 17:26 <REP> d--h-c--- F:\WINDOWS\ie7

2006-11-25 17:25 121,856 --------- F:\WINDOWS\system32\xmllite.dll

2006-11-25 17:24 <REP> d-------- F:\WINDOWS\network diagnostic

2006-11-24 16:22 <REP> d-------- F:\WINDOWS\SxsCaPendDel

2006-11-24 15:59 42,920 --a------ F:\WINDOWS\system32\vsutil_loc040c.dll

2006-11-24 15:58 <REP> d-------- F:\WINDOWS\system32\ZoneLabs

2006-11-24 15:58 <REP> d-------- F:\Program Files\Zone Labs

2006-11-23 22:43 3,968 --a------ F:\WINDOWS\system32\drivers\AvgAsCln.sys

2006-11-23 22:43 <REP> d-------- F:\Program Files\Grisoft

2006-11-23 19:47 5,632 --a------ F:\WINDOWS\system32\Machnm64.sys

2006-11-23 19:47 2,304 --a------ F:\WINDOWS\system32\Machnm32.sys

2006-11-23 19:47 15,840 --a------ F:\WINDOWS\system32\Machnm1.exe

2006-11-23 19:47 <REP> d-------- F:\Program Files\E-Press

2006-11-23 16:27 <REP> d-------- F:\Program Files\Yahoo!

2006-11-23 16:27 <REP> d-------- F:\Documents and Settings\All Users\Application Data\Symantec

2006-11-23 16:22 <REP> d-------- F:\Program Files\Fichiers communs\Symantec Shared

2006-11-23 12:55 <REP> d-------- F:\Program Files\VSAdd-in

2006-11-23 11:53 2 --a------ F:\WINDOWS\system32\wnscpcc.exe

2006-11-20 17:28 <REP> d-------- F:\Program Files\OO Software

2006-11-19 15:09 424,136 --a------ F:\WINDOWS\system32\wunauclt.exe

2006-11-19 15:09 424,136 --a------ F:\Program Files\wunauclt.exe

2006-11-19 11:19 <REP> dr-h----- F:\Documents and Settings\moi\Recent

2006-11-17 00:34 <REP> d-------- F:\Program Files\Mes Jeux T‚l‚charg‚s

2006-11-17 00:33 <REP> d-------- F:\Program Files\BoontyGames

2006-11-17 00:33 <REP> d-------- F:\Program Files\Boonty

2006-11-14 20:12 <REP> d-------- F:\Program Files\Neuf

2006-11-07 21:03 6,049,280 --------- F:\WINDOWS\system32\ieframe.dll

2006-11-07 21:03 50,688 --------- F:\WINDOWS\system32\msfeedsbs.dll

2006-11-07 21:03 458,752 --------- F:\WINDOWS\system32\msfeeds.dll

2006-11-07 21:03 180,736 --------- F:\WINDOWS\system32\ieui.dll

2006-11-07 03:26 13,312 --a------ F:\WINDOWS\system32\ieudinit.exe

2006-10-30 15:26 98,304 --a------ F:\WINDOWS\system32\CmdLineExt.dll

2006-10-30 15:22 <REP> d-------- F:\Program Files\KONAMI

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-11-27 13:05 -------- d-------- F:\Program Files\Fichiers communs

2006-11-26 15:00 -------- d-------- F:\Documents and Settings\moi\Application Data\teamspeak2

2006-11-25 17:29 -------- d-------- F:\Program Files\Internet Explorer

2006-11-24 16:24 -------- d-------- F:\Documents and Settings\moi\Application Data\Lavasoft

2006-11-24 16:23 -------- d-------- F:\Program Files\Zoom Player

2006-11-24 16:22 -------- d--h----- F:\Program Files\InstallShield Installation Information

2006-11-23 21:43 -------- d-------- F:\Program Files\Fichiers communs\Microsoft Shared

2006-11-23 20:54 -------- d-------- F:\Program Files\Spybot - Search & Destroy

2006-11-23 19:48 3120 --a------ F:\Documents and Settings\moi\Application Data\117715.29

2006-11-07 21:03 413696 --a------ F:\WINDOWS\system32\vbscript.dll

2006-11-07 21:03 231424 --a------ F:\WINDOWS\system32\webcheck.dll

2006-11-07 21:03 156160 --a------ F:\WINDOWS\system32\msls31.dll

2006-11-07 03:27 382976 --a------ F:\WINDOWS\system32\iedkcs32.dll

2006-11-07 03:27 229376 --a------ F:\WINDOWS\system32\ieaksie.dll

2006-11-07 03:26 71680 --a------ F:\WINDOWS\system32\admparse.dll

2006-11-07 03:26 55296 --a------ F:\WINDOWS\system32\iesetup.dll

2006-11-07 03:26 54784 --a------ F:\WINDOWS\system32\ie4uinit.exe

2006-11-07 03:26 43008 --a------ F:\WINDOWS\system32\iernonce.dll

2006-11-07 03:26 152064 --a------ F:\WINDOWS\system32\ieakeng.dll

2006-11-07 03:26 123904 --a------ F:\WINDOWS\system32\advpack.dll

2006-11-07 03:25 161792 --a------ F:\WINDOWS\system32\ieakui.dll

2006-10-22 16:24 -------- d-------- F:\Program Files\JeffProd

2006-10-21 19:02 30630 --a------ F:\WINDOWS\system32\drivers\Mmc_2k.sys

2006-10-21 19:02 25898 --a------ F:\WINDOWS\system32\drivers\Dvd_2k.sys

2006-10-21 19:02 143834 --a------ F:\WINDOWS\system32\drivers\pwd_2K.sys

2006-10-21 19:02 -------- d-------- F:\Program Files\Fichiers communs\Adaptec Shared

2006-10-21 19:01 -------- d-------- F:\Program Files\Roxio

2006-10-19 18:01 -------- d---s---- F:\Documents and Settings\moi\Application Data\Microsoft

2006-10-18 20:40 -------- d-------- F:\Program Files\Diskeeper Corporation

2006-10-18 16:42 -------- d-------- F:\Program Files\Shareaza

2006-10-18 16:42 -------- d-------- F:\Documents and Settings\moi\Application Data\Shareaza

2006-10-18 16:24 -------- d-------- F:\Documents and Settings\moi\Application Data\Google

2006-10-18 14:40 -------- d-------- F:\Program Files\Google

2006-10-17 12:06 78336 --a------ F:\WINDOWS\system32\ieencode.dll

2006-10-17 12:05 40960 --a------ F:\WINDOWS\system32\licmgr10.dll

2006-10-17 12:05 206336 --------- F:\WINDOWS\system32\WinFXDocObj.exe

2006-10-17 12:05 105984 --a------ F:\WINDOWS\system32\url.dll

2006-10-17 12:04 101376 --a------ F:\WINDOWS\system32\occache.dll

2006-10-17 12:03 17408 --a------ F:\WINDOWS\system32\corpol.dll

2006-10-17 11:58 61952 --------- F:\WINDOWS\system32\icardie.dll

2006-10-17 11:58 12288 --------- F:\WINDOWS\system32\msfeedssync.exe

2006-10-17 11:57 36352 --a------ F:\WINDOWS\system32\imgutil.dll

2006-10-17 11:57 266752 --------- F:\WINDOWS\system32\iertutil.dll

2006-10-17 11:56 45568 --a------ F:\WINDOWS\system32\mshta.exe

2006-10-17 11:28 48128 --a------ F:\WINDOWS\system32\mshtmler.dll

2006-10-17 11:27 380928 --------- F:\WINDOWS\system32\ieapfltr.dll

2006-10-13 13:36 145920 --a------ F:\WINDOWS\system32\nwprovau.dll

2006-10-07 21:54 390023 -rahs---- F:\Program Files\wunauclt.zip

2006-10-07 21:54 390023 -rahs---- F:\Program Files\wunauclt.tbe

2006-10-06 21:37 -------- d-------- F:\Program Files\Wolfenstein - Enemy Territory

2006-10-05 16:25 5 --ahs---- F:\WINDOWS\system32\aeccfae_g.dll

2006-10-05 16:14 -------- d-------- F:\Program Files\RegCleaner

2006-10-02 21:48 -------- d-------- F:\Program Files\The All-Seeing Eye

2006-09-13 06:03 1084416 --a------ F:\WINDOWS\system32\msxml3.dll

2006-09-06 16:43 22752 --a------ F:\WINDOWS\system32\spupdsvc.exe

2006-08-27 16:38 1015973 -rahs---- F:\Program Files\serial.zip

2006-08-27 16:38 1015973 -rahs---- F:\Program Files\serial.tde

2006-08-27 16:19 56239 --a------ F:\Program Files\svchosts.tbe

2006-08-04 11:18 774144 --a------ F:\Program Files\RngInterstitial.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="F:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"avgnt"="\"F:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000005

"Settings"=dword:00000001

"GeneralFlags"=dword:00000005

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"

"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^F-Secure 2006.lnk]

"backup"="F:\\WINDOWS\\pss\\F-Secure 2006.lnkCommon Startup"

"location"="Common Startup"

"item"="F-Secure 2006"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

"path"="F:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Lancement rapide d'Adobe Reader.lnk"

"backup"="F:\\WINDOWS\\pss\\Lancement rapide d'Adobe Reader.lnkCommon Startup"

"location"="Common Startup"

"command"="F:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "

"item"="Lancement rapide d'Adobe Reader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ScanPanel.lnk]

"backup"="F:\\WINDOWS\\pss\\ScanPanel.lnkCommon Startup"

"location"="Common Startup"

"item"="ScanPanel"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

"backup"="F:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"

"location"="Common Startup"

"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^BoontyBox neuf telecom.lnk]

"path"="F:\\Documents and Settings\\moi\\Menu Démarrer\\Programmes\\Démarrage\\BoontyBox neuf telecom.lnk"

"backup"="F:\\WINDOWS\\pss\\BoontyBox neuf telecom.lnkStartup"

"location"="Startup"

"command"="F:\\PROGRA~1\\Boonty\\BOONTY~1\\BOONTY~1.EXE /boot /nosplash"

"item"="BoontyBox neuf telecom"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^Corel Print House Registration.lnk]

"path"="F:\\Documents and Settings\\moi\\Menu Démarrer\\Programmes\\Démarrage\\Corel Print House Registration.lnk"

"backup"="F:\\WINDOWS\\pss\\Corel Print House Registration.lnkStartup"

"location"="Startup"

"command"="F:\\Fichiers programme\\Corel\\Print House 2000\\Register\\Remind32.exe "

"item"="Corel Print House Registration"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^Diskeeper 10 Professional Edition Registration.lnk]

"path"="F:\\Documents and Settings\\moi\\Menu Démarrer\\Programmes\\Démarrage\\Diskeeper 10 Professional Edition Registration.lnk"

"backup"="F:\\WINDOWS\\pss\\Diskeeper 10 Professional Edition Registration.lnkStartup"

"location"="Startup"

"command"="F:\\PROGRA~1\\DISKEE~1\\DISKEE~3\\ESIREG~1.EXE /remind /language=FRA /PRNM=\"Diskeeper 10 Professional Edition\""

"item"="Diskeeper 10 Professional Edition Registration"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 1.1.4.lnk]

"path"="F:\\Documents and Settings\\moi\\Menu Démarrer\\Programmes\\Démarrage\\OpenOffice.org 1.1.4.lnk"

"backup"="F:\\WINDOWS\\pss\\OpenOffice.org 1.1.4.lnkStartup"

"location"="Startup"

"command"="F:\\PROGRA~1\\OPENOF~1.4\\program\\QUICKS~1.EXE "

"item"="OpenOffice.org 1.1.4"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Documents and Settings^moi^Menu Démarrer^Programmes^Démarrage^RegFreeze.lnk]

"backup"="F:\\WINDOWS\\pss\\RegFreeze.lnkStartup"

"location"="Startup"

"item"="RegFreeze"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="avgas"

"hkey"="HKLM"

"command"="\"F:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!ewido]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ewido"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="DirectCD"

"hkey"="HKLM"

"inimapping"="0"

"command"="\"F:\\Program Files\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="atiptaxx"

"hkey"="HKLM"

"command"="C:\\ATI-CPanel\\atiptaxx.exe"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="avgcc"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BoontyBox]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="BoontyBox"

"hkey"="HKCU"

"command"="\"F:\\Program Files\\Boonty\\BoontyBox\\BoontyBox.exe\" /boot"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="drvxir"

"hkey"="HKLM"

"command"="rundll32.exe F:\\WINDOWS\\system32\\drvxir.dll,startup"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ctfmon"

"hkey"="HKCU"

"command"="F:\\WINDOWS\\System32\\ctfmon.exe"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="DkIcon"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="emule"

"hkey"="HKCU"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"=""

"hkey"="HKLM"

"command"=""

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoRss]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"=""

"hkey"="HKLM"

"command"=""

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ErrorSafe]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ers"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SchSvr"

"hkey"="HKLM"

"command"="\"F:\\Program Files\\Fichiers communs\\InterVideo\\SchSvr\\SchSvr.exe\""

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Pro Evolution Soccer 6"

"hkey"="HKLM"

"command"="Pro Evolution Soccer 6"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="LXSUPMON"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="msmsgs"

"hkey"="HKCU"

"command"="\"F:\\Program Files\\Messenger\\msmsgs.exe\" /background"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="msnmsgr"

"hkey"="HKCU"

"command"="\"F:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="mwsoemon"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OneClick]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="oneclick"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCDefender-AntiVirus]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Helper"

"hkey"="HKCU"

"command"="F:\\Program Files\\E-Press\\PC Defender\\bin\\Helper.exe /start"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="qttask"

"hkey"="HKLM"

"command"="\"F:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="REGSHAVE"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Shareaza"

"hkey"="HKCU"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Startup Manager Scanner]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="StartupScanner"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="AdobeUpdateManager"

"hkey"="HKCU"

"command"="F:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_3"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINCINEMAMGR]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="WinCinemaMgr"

"hkey"="HKLM"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="MSASCui"

"hkey"="HKLM"

"command"="\"F:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Registry Repair Pro]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="RegistryRepairPro"

"hkey"="HKCU"

"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="zlclient"

"hkey"="HKLM"

"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzoa32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder

F:\WINDOWS\tasks\At1.job

F:\WINDOWS\tasks\At2.job

F:\WINDOWS\tasks\At3.job

Completion time: 06-11-27 13:05:27.51

F:\ComboFix.txt ... 06-11-27 13:05

F SECURE RAPPORT

11/27/06 13:19:42 [info]: BlackLight Engine 1.0.47 initialized

11/27/06 13:19:42 [info]: OS: 5.1 build 2600 (Service Pack 2)

11/27/06 13:19:42 [Note]: 7019 4

11/27/06 13:19:42 [Note]: 7005 0

11/27/06 13:19:45 [Note]: 7006 0

11/27/06 13:19:45 [Note]: 7011 1348

11/27/06 13:19:46 [Note]: 7026 0

11/27/06 13:19:46 [Note]: 7024 3

11/27/06 13:19:46 [info]: Hidden process: F:\windows\system32\olzrkn.exe

11/27/06 13:19:46 [Note]: FSRAW library version 1.7.1020

11/27/06 13:21:50 [info]: Hidden file: f:\WINDOWS\Prefetch\OLZRKN.EXE-0CA03DBC.pf

11/27/06 13:21:50 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: f:\WINDOWS\system32\olzrkn.dat

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: F:\windows\system32\olzrkn.exe

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: f:\WINDOWS\system32\olzrkn_nav.dat

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:30 [info]: Hidden file: f:\WINDOWS\system32\olzrkn_navps.dat

11/27/06 13:22:30 [Note]: 10002 1

11/27/06 13:26:42 [Note]: 7007 0

ETPOUR FINIR HIJACK HIS

11/27/06 13:19:42 [info]: BlackLight Engine 1.0.47 initialized

11/27/06 13:19:42 [info]: OS: 5.1 build 2600 (Service Pack 2)

11/27/06 13:19:42 [Note]: 7019 4

11/27/06 13:19:42 [Note]: 7005 0

11/27/06 13:19:45 [Note]: 7006 0

11/27/06 13:19:45 [Note]: 7011 1348

11/27/06 13:19:46 [Note]: 7026 0

11/27/06 13:19:46 [Note]: 7024 3

11/27/06 13:19:46 [info]: Hidden process: F:\windows\system32\olzrkn.exe

11/27/06 13:19:46 [Note]: FSRAW library version 1.7.1020

11/27/06 13:21:50 [info]: Hidden file: f:\WINDOWS\Prefetch\OLZRKN.EXE-0CA03DBC.pf

11/27/06 13:21:50 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: f:\WINDOWS\system32\olzrkn.dat

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: F:\windows\system32\olzrkn.exe

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:29 [info]: Hidden file: f:\WINDOWS\system32\olzrkn_nav.dat

11/27/06 13:22:29 [Note]: 10002 1

11/27/06 13:22:30 [info]: Hidden file: f:\WINDOWS\system32\olzrkn_navps.dat

11/27/06 13:22:30 [Note]: 10002 1

11/27/06 13:26:42 [Note]: 7007 0

DONC VOILA CHARLES C4EST FAIT

mrci a toi

Thanos · le 27 novembre 2006

ok merci pour les rapports Le responsable des pubs que tu reçois est démasqué ! il y a du nettoyage à faire : je te poste une procédure dans une demie heure( je pars pour quelques instants!).

micka, pour ne pas reprendre le contenu de mon message,lorsque tu réponds; clique sur le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" stp.

Modifié le 27 novembre 2006 par charles ingals

Thanos · le 27 novembre 2006

Très bien: Vundo(une des infections présentes) a été éliminée.

A présent, tu continues comme ceci =>

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Va en haut de la page que tu parcours actuellement et clique sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier "En réponse à critical systeme erroor" (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

La procédure:

Étape 1:

- Relance Blacklight et double-clique blbeta.exe puis accepte la licence; clique Scan puis Next.

Tu verras la même liste de fichiers détectés apparaître (olzrkn.exe -olzrkn.exe.dat etc...)

Pour chacune de ces inscriptions(5 en tout) :

- Sélectionne-la (clique dessus). Puis clique sur le bouton "Rename"

- Quand toutes les inscriptions nuisibles sont traitées, cliquez sur le bouton "Next".

Un panneau d'avertissement s'affiche signalant que renommer une inscription légitime peut occasionner des problèmes avec Windows.

Coche "I have understood the warning and wish to continue" (je sais ce que je fais et souhaite continuer), puis cliquez sur le bouton "OK".

- Cliquez sur le bouton "Restart Now" (redémarrer maintenant) puis cliquez sur le bouton "OK".

Étape 2:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 3:

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:(si ce n'est pas déjà fait)

OIN

BoontyBox 2.1

888Bar

Safety Alert 2006

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

*Supprime les fichiers (en gras ci dessous) dans F:\windows\system32:

F:\windows\system32\olzrkn.exe.ren

F:\windows\system32\olzrkn.dat.ren

F:\windows\system32\olzrkn.nav_dat.ren

F:\windows\system32\olzrkn.navps_dat.ren

F:\windows\system32\wnscpcc.exe

F:\windows\system32\wunauclt.exe

*Supprime le fichier (en gras ci dessous) dans F:\windows\Prefetch:

F:\WINDOWS\Prefetch\olzrkn.exe-0CA03DBC.pf.ren

*Supprime les fichiers/dossiers (en gras ci dessous) dans F:\Program Files:

F:\Program Files\wunauclt.zip

F:\Program Files\wunauclt.tbe

F:\Program Files\BoontyGames

F:\Program Files\Boonty

F:\Program Files\VSAdd-in

F:\Program Files\fichiers communs\BOONTY Shared

Étape 4:

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox(si tu l'utilises)
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

Ouvre Firefox et clique sur Outils=> Options
Clique sur l'onglet Vie Privée
clique sur le bouton Vider le cache dans l'onglet "Historique"
clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
clique sur le bouton Vider le cache dans l'onglet "Cache"
clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.

Étape 5:

Redémarre normalement et poste le contenu des rapports suivants:

-un nouveau rapport HijackThis.

-relance Blacklight et poste le nouveau rapport qu'il va générer.

-un nouveau rapport Combofix.

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Fais plusieurs messages pour poster ces rapports si il le faut.

Voilà!! suis bien les directives :ton pc sera propre après ca. Si tu as des questions n'hésite pas

Modifié le 27 novembre 2006 par charles ingals

micka · le 27 novembre 2006

Très bien: Vundo(une des infections présentes) a été éliminée.

A présent, tu continues comme ceci =>

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Va en haut de la page que tu parcours actuellement et clique sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier "En réponse à critical systeme erroor" (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

La procédure:

Étape 1:

- Relance Blacklight et double-clique blbeta.exe puis accepte la licence; clique Scan puis Next.

Tu verras la même liste de fichiers détectés apparaître (olzrkn.exe -olzrkn.exe.dat etc...)

Pour chacune de ces inscriptions(5 en tout) :

- Sélectionne-la (clique dessus). Puis clique sur le bouton "Rename"

- Quand toutes les inscriptions nuisibles sont traitées, cliquez sur le bouton "Next".

Un panneau d'avertissement s'affiche signalant que renommer une inscription légitime peut occasionner des problèmes avec Windows.

Coche "I have understood the warning and wish to continue" (je sais ce que je fais et souhaite continuer), puis cliquez sur le bouton "OK".

- Cliquez sur le bouton "Restart Now" (redémarrer maintenant) puis cliquez sur le bouton "OK".

Étape 2:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 3:

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant:(si ce n'est pas déjà fait)

OIN

BoontyBox 2.1

888Bar

Safety Alert 2006

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

*Supprime les fichiers (en gras ci dessous) dans F:\windows\system32:

F:\windows\system32\olzrkn.exe.ren

F:\windows\system32\olzrkn.dat.ren

F:\windows\system32\olzrkn.nav_dat.ren

F:\windows\system32\olzrkn.navps_dat.ren

F:\windows\system32\wnscpcc.exe

F:\windows\system32\wunauclt.exe

*Supprime le fichier (en gras ci dessous) dans F:\windows\Prefetch:

F:\WINDOWS\Prefetch\olzrkn.exe-0CA03DBC.pf.ren

*Supprime les fichiers/dossiers (en gras ci dessous) dans F:\Program Files:

F:\Program Files\wunauclt.zip

F:\Program Files\wunauclt.tbe

F:\Program Files\BoontyGames

F:\Program Files\Boonty

F:\Program Files\VSAdd-in

F:\Program Files\fichiers communs\BOONTY Shared

Étape 4:

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox(si tu l'utilises)
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

Ouvre Firefox et clique sur Outils=> Options

Clique sur l'onglet Vie Privée

clique sur le bouton Vider le cache dans l'onglet "Historique"

clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"

clique sur le bouton Vider le cache dans l'onglet "Cache"

clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.

Étape 5:

Redémarre normalement et poste le contenu des rapports suivants:

-un nouveau rapport HijackThis.

-relance Blacklight et poste le nouveau rapport qu'il va générer.

-un nouveau rapport Combofix.

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Fais plusieurs messages pour poster ces rapports si il le faut.

Voilà!! suis bien les directives :ton pc sera propre après ca. Si tu as des questions n'hésite pas

bonsoir charles .

comme prevu je te fait par de mes rapport, et te remerci de ton aide .

RAPPORT HIJACK THIS

Logfile of HijackThis v1.99.1

Scan saved at 20:41, on 06-11-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\SYSTEM32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\System32\Ati2evxx.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\Program Files\AntiVir PersonalEdition Classic\sched.exe

F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

F:\WINDOWS\System32\drivers\CDAC11BA.EXE

F:\WINDOWS\System32\oodag.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\SYSTEM32\Ati2evxx.exe

F:\WINDOWS\Explorer.EXE

F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

F:\WINDOWS\system32\ctfmon.exe

F:\WINDOWS\system32\wscntfy.exe

F:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\WINDOWS\system32\NOTEPAD.EXE

F:\Program Files\HijackThis);\Vundo.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - F:\WINDOWS\system32\uxobvcjv.dll (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {031F120A-BBAF-45d8-B306-375F2A6B9398} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - F:\WINDOWS\system32\ixt0.dll (file missing)

O2 - BHO: (no name) - {840121111101411911080111101077109114053} - (no file)

O2 - BHO: (no name) - {8A0C66A8-B73E-4FF9-BB87-E3438A9DBEB0} - F:\WINDOWS\system32\pmnnm.dll (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\program files\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: (no name) - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [olzrkn] f:\windows\system32\olzrkn.exe olzrkn

O4 - HKLM\..\Run: [avgnt] "F:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{364D045E-BCA0-495F-A59B-0111D4F8599E}: NameServer = 80.10.246.1,80.10.246.139

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: 30.dll

O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winzoa32 - winzoa32.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - Unknown owner - F:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - F:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - F:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\System32\oodag.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

RAPPORT ACTIVE SCAN

Incident Status Location

Spyware:Cookie/Advertising Not disinfected F:\Documents and Settings\moi\Cookies\moi@advertising[1].txt

Spyware:Cookie/Bluestreak Not disinfected F:\Documents and Settings\moi\Cookies\moi@bluestreak[1].txt

Spyware:Cookie/Doubleclick Not disinfected F:\Documents and Settings\moi\Cookies\moi@doubleclick[1].txt

Spyware:Cookie/Tradedoubler Not disinfected F:\Documents and Settings\moi\Cookies\moi@tradedoubler[1].txt

Spyware:Cookie/Xiti Not disinfected F:\Documents and Settings\moi\Cookies\moi@xiti[1].txt

Possible Virus. Not disinfected F:\scaleo.exe

Possible Virus. Not disinfected F:\VundoFix Backups\pmnnm.dll.bad

Potentially unwanted tool:Application/MyWebSearch Not disinfected F:\WINDOWS\system32\f3pssavr.scr

RAPPORT COMBO FIX

moi - 06-11-27 21:18:13,40 Service Pack 2

ComboFix 06.11.27W - Running from: "F:\Documents and Settings\moi\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

F:\QooBox\Purity\Documents and Settings\moi\Application Data\YMANTE~1

F:\QooBox\Purity\Documents and Settings\moi\Application Data\YMANTE~1\?ymantec

F:\QooBox\Purity\Documents and Settings\moi\Mes documents\ICROSO~1

((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 ))))))))))))))))))))))))))))))))))

2006-11-27 20:14 <REP> d-------- F:\WINDOWS\system32\ActiveScan

2006-11-27 19:58 <REP> d-------- F:\WINDOWS\LastGood