rapport hyjackthis

[Thanos]

salut steroban

 

Ahh,on respire mieux sans Norton,non?

 

Beau nettoyage!Allez ,ca se précise!

 

-Télécharge FxBlzFnd.exe

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Lance FxBlzFnd.exe

 

-Le fichier suivant détecté par le scan Panda=>

 

C:\RECYCLER\S-1-5-21-725345543-1085031214-2147187605-1003\Dc4512.gif

 

doit se trouver dans la corbeille!Fais ceci:

 

-Passe par "Démarrer/Exécuter" et tapes cleanmgr , assure toi que toute les cases soient cochées et

 

lance le nettoyage(fais de même pour tous les lecteurs).

 

-Passe un coup d'Easycleaner.

 

-Redémarre normalement et fais un scan ici=>

 

Fais un scan en ligne avec Kaspersky WebScanner

 

Clique sur Kaspersky Online Scanner

 

On va te demander d'installer un contrôle ActiveX ,clique sur Yes.

• * Le programme va démarrer et télécharger les dernières mises à jour:
  * une fois la mise à jour terminée,clique sur NEXT
  * clique sur Scan Settings
  * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés:
  o Scan using the following Anti-Virus database:
  Extended (si possible,sinon:Standard)
  o Scan Options:
  Scan Archives
  Scan Mail Bases
  * Clique sur OK
  * A présent sous "select a target to scan":
  choisis My Computer
  * Le programme va se lancer et scanner ton systeme.
  * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté.
  o A présent clique sur le bouton "Save":
  * Sauvegarde le fichier sur ton bureau.
  * Copie/colle le contenu dans ton prochain message.
  

Concernant ceci:

dans hijackthis , google toolbar2 reviens souvent : pourrais tu ,s'il te plait ,me dire a quoi ca correspond ?

Google installe une BHO avec sa Toolbar,ca ne pose à mon avis aucun problème:ce n'est pas un spyware.

pour zone alarm , il faudrait creer un mot de passe mais je ne vois pas ou se situe cette option

Le tuto de tesgaz concerne la version payante de Zone Alarm,c'est peu être pour ca que tu ne trouves pas cette option

Modifié le 28 décembre 2005 par charles ingals

[steroban]

salut Charles ,

oui je suis d'accord avec toi, on respire beaucoup mieux

pour antivir c'est nickel , mais pour zone alarm faut juste s'habituer , car chaque programme

que l'on ouvre , hop ! il stop tout . une fois que tous les reglages seront fait ...ca ira .

 

maintenant pour FxBlzFnd.exe , ca n'a rien donné , il n'a rien trouvé.

j'ai passé un coup de cleanmgr sur tous mes lecteurs et ensuite un coup d'easycleaner

comme d'ab avec easycleaner 3 fichiers n'ont pu etre effacé

content.IE5 - perflib_perfdata_870.dat - content.IE5\Index.dat

 

voici ce qu'a donné Kaspersky WebScanner :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Wednesday, December 28, 2005 19:20:41

Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version: 5.0.67.0

Kaspersky Anti-Virus database last update: 28/12/2005

Kaspersky Anti-Virus database records: 167975

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

M:\

 

Scan Statistics:

Total number of scanned objects: 167969

Number of viruses found: 12

Number of infected objects: 62

Number of suspicious objects: 2

Duration of the scan process: 15202 sec

 

Infected Object Name - Virus Name

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpyAgent1.zip.mwt/Deploy.exe Suspicious: Password-protected-EXE

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpyAgent1.zip.mwt Suspicious: Password-protected-EXE

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From "Pab ... ... /[From eBay Inc <custservice_id_9808@ebay.com>][Date Mon, 26 Dec 2005 20:18:59 -0400]/html Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From "Pab ... /[From "Jesse Flores" <imqrzivwxb@badboy.co.jp>][Date Mon, 26 Dec 2005 14:39:11 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From "Pab ... /[From "dulcinea Hinton" <Cecil.Marcus@ffgg.com>][Date Mon, 26 Dec 2005 02:54:15 -0800]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From "Pablo Watkins" <pablo_watkins_zt@email.palmbeach.k12.fl.us>][Date Mon, 26 Dec 2005 02:42:50 +0100]/text Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Servi ... /[From "Ms. hedwiga" <Davis.Daniels@efes.net.tr>][Date Sun, 25 Dec 2005 19:05:03 -0800]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Servi ... /[From "Matia Sumner" <matusumner@ruskin.ac.uk>][Date Sun, 25 Dec 2005 07:22:48 -0500]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Servi .. ... /[From "Yvonne Gorman" <fyycrshdf@polbox.pl>][Date Sun, 25 Dec 2005 01:13:35 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Servi ... ... /[From "Hana Granville" <hana@bmarendal.no>][Date Sat, 24 Dec 2005 21:44:03 -0500]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Servi ... /[From "Gail Burch" <ioafvmprca@oklahoma.co.jp>][Date Sat, 24 Dec 2005 09:08:04 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[F ... /[From Service de distribution du courrier <postmaster@orange.fr>][Date Sat, 24 Dec 2005 11:11:13 +0100]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[From "Issac Pete ... /[From "Madame marina" <debera.Sharpe@freemail.lt>][Date Fri, 23 Dec 2005 23:29:04 -0800]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[From "Issac Peter ... /[From "Johnny Russell" <kldjngmy@america.co.jp>][Date Tue, 29 Nov 2005 07:39:29 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED/[From "Issac Peters" <employment@01research.com>][Date Fri, 23 2005 11:50:51 -0540]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED/[From CASTINGDUJOUR.COM2 <b-pop@ema.axi.fr>][Date Tue, 20 Dec 2005 13:26:04 +0100 (CET)]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED/[From "Barbara Elder" <qdilhbeeho@walla.co.il>][Date Thu, 22 Dec 2005 20:55:09 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED/[From "Stella Dubois" <jwuydt@sverige.nu>][Date Thu, 22 Dec 2005 16:19:01 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox/[From "Basil Mclean" <trdda@oklahoma.co.jp>][Date Mon, 28 Nov 2005 11:58:43 -0600]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox Infected: Trojan-Spy.HTML.Bayfraud.hn

C:\Program Files\MessengerDiscovery\killmd.exe Infected: not-a-virus:AdWare.Win32.VB.c

C:\programmes\downloader23\Downloader 2.3\Downloader.exe.mwt Infected: HackTool.Win32.Pexer

C:\programmes\downloader23.zip.mwt/Downloader 2.3/Downloader.exe Infected: HackTool.Win32.Pexer

C:\programmes\downloader23.zip.mwt Infected: HackTool.Win32.Pexer

C:\programmes\MDX_Update_2.1.exe/data0001 Infected: not-a-virus:AdWare.Win32.VB.c

C:\programmes\MDX_Update_2.1.exe Infected: not-a-virus:AdWare.Win32.VB.c

C:\System Volume Information\_restore{C8C8E54D-BC41-4EDA-9C49-A4BD4361FB62}\RP1\A0000041.exe Infected: not-a-virus:Downloader.Win32.ImLoader.b

C:\System Volume Information\_restore{C8C8E54D-BC41-4EDA-9C49-A4BD4361FB62}\RP4\A0000700.exe Infected: not-a-virus:AdWare.Win32.VB.c

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0001.cab/Save.exe Infected: not-a-virus:AdWare.Win32.SaveNow.c

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0001.cab/SaveUninst.exe Infected: not-a-virus:AdWare.Win32.SaveNow.af

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0001.cab Infected: not-a-virus:AdWare.Win32.SaveNow.af

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0002.cab/Sync.exe Infected: not-a-virus:AdWare.Win32.SaveNow.v

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0002.cab/Uninst.exe Infected: not-a-virus:AdWare.Win32.SaveNow.v

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN/data0002.cab Infected: not-a-virus:AdWare.Win32.SaveNow.v

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0034.BIN Infected: not-a-virus:AdWare.Win32.SaveNow.v

H:\fichier ou programmes recus (compresser)\hhousefree.exe/WISE0035.BIN Infected: not-a-virus:AdWare.Win32.NewDotNet

H:\fichier ou programmes recus (compresser)\hhousefree.exe Infected: not-a-virus:AdWare.Win32.NewDotNet

 

Scan process completed.

 

c'etait mega - long l'analyse kaspersky (plus de 5 heures ) mais j'y suis arrivé ...

bonne soirée , ou plutot bonne nuit comme apparament tu fais parti de l'equipe de nuit

[Thanos]

salut steroban

 

Encore quelques daubes on dirait!

 

-Des infections détectées dans ce dossier(ta boite de réception)=>

 

C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox

vide le dossier en gras.Une remarque:avant d'ouvrir n'importe quelle pièce jointe,fais la toujours analyser par ton AV.

 

-Efface les fichiers ci dessous:

 

-C:\Program Files\MessengerDiscovery\killmd.exe=> le fichier

Utilises tu le programme downloader23?sinon efface le programme entier

-C:\programmes\downloader23=> le dossier

-C:\programmes\downloader23.zip.mwt=> le dossier

-C:\programmes\MDX_Update_2.1.exe => le fichier

-C:\programmes\MDX_Update_2.1.exe/data0001=> le fichier

-H:\fichier ou programmes recus (compresser)\=>qui as 'il d'autre dans ce dossier que hhousefree.exe?si c'est tout ce qu'il contient ,vide le dossier.

 

*Concernant ceci:

 

C:\System Volume Information\_restore{C8C8E54D-BC41-4EDA-9C49-A4BD4361FB62}\RP4\A0000700.exe Infected

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Puis tu remet la restauration en route en faisant la manoeuvre inverse.

 

*Vide le contenu du dossier en gras :

 

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery

 

Un coup d'easy cleaner par dessus!Puis un scan en ligne avec Panda pour finir

[steroban]

salut Charles ,

voici les nouvelles du soir

dans le dossiers inbox (thunderbird) il n'y avait rien , je m'applique a supprimer tous ces mails recus qui soient je ne connais pas l'expediteur ou soit , ne m'interressent pas. et je vide la corbeille derriere.

biensur comme tu as dis je n'ouvre aucune piece jointes de ces mails .

le probleme c'est surtout que je n'arrive pas a me debarrasser de ces mails , a ne plu en recevoir .

 

j'ai supprimé le fichier killmd.exe, downloader 23 ( je m'en servais pas ) ,downloader23.zip.mwt,mdx_update_2.1.exe , data0001 a du etre supprimer quand j'ai supprimé mdx_update_2.1.exe

et hhousefree.exe n'etait pas seul dans le dossier , j'ai quelque programme avec , je l'ai effacé quand meme car je m'en sers pas et surtout je ne vois pas d'ou ca vient et a quoi ca sert.

 

easy cleaner en plus des 3 fichiers de d'habitude , n'a pas pu effacer :

C:\Documents and Settings\steroban\Local Settings\Temp\~DFFF6E.tmp taille =) 49152

C:\WINDOWS\Temp\ZLT053f5.TMP taille 256

 

et voila le meilleur pour la fin , je t'ai meme mi une petite capture d'ecran , car pour en arriver la il y a eu du boulot , certes, mais ca fait trop plaisir de voir ca

 

 

le rapport:

 

Adware:adware/blazefind Non désinfecté Registre Windows

 

je me repette encore ,mais , merci charles pour ce resultat obtenu

 

bonne nuit .

[Thanos]

salut steroban

 

Ca fait plaisir manque plus que ce Blazefind qui s'accroche tel le morbak

 

Je n'utilise pas thunderbird ,mais il doit bien y avoir un tuto pour le paramétrer et interdire certaines adresses.

Si je trouve ca,je te le poste.

 

Cette cochonnerie détectée par Panda=> blazefind résiste visiblement au fix de Symantec...

 

Y a plus qu'à rechercher manuellement!

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle {71ed4fba-4024-4bbe-91dc-9704c93f453e} dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Fais la même chose avec les lignes suivantes:

{83de62e0-5805-11d8-9b25-00e04c60faf2}

{c5941ee5-6dfa-11d8-86b0-0002441a9695}

{fbed6a02-71fb-11d8-86b0-0002441a9695}

omniscient.exe

windows sa

 

Poste les rapports de regsearch si il trouve quelque chose.

 

@+tard

Modifié le 30 décembre 2005 par charles ingals

[steroban]

bonjour charles ,

d'ac pour thunderbird , je vais essayer de trouver quelque chose la dessus de mon coté aussi.

car des le matin en mettant le programme en route , il m'a recuperé deja 17 mails et tout de la daube.

 

Registry Search de Bobbi Flekman me pose quelque probleme ( a moins que ce soit normal mais je pense pas ...)

voila ce que ca m'affiche a chaque recherche

 

 

je essayé de tout prendre sur la capture pour que tu vois si il y a une erreur quelque part dans les options.

cases a cocher

 

@+

[Thanos]

salut steroban

 

Bizarre ce message d'erreur!On va essayer avec un autre tool,qui a la même fonction:

 

-Télécharge Registry Search Tool de billsway(en bas de page):

 

http://www.billsway.com/vbspage/

 

Si ton antivirus se déclenche ,désactive le blocage de scripts dans les options de ton antivirus.

 

Dézippe Registry Search Tool et lance le .

 

Copie/colle les lignes que je t'ai énoncé plus haut dans la boite de recherche. Poste les résultats.

Modifié le 31 décembre 2005 par charles ingals

[steroban]

bonjour charles

ok merci , le nouveau programme que tu me propose marche

je sais pas ce qui se passe pour l'autre mais j'ai ressayé et ca fait pareil ( des fois , avec un redemarage , ca aide ... mais la non )

 

les resultats donnent ceci :

 

pour {71ed4fba-4024-4bbe-91dc-9704c93f453e}

=)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{71ED4FBA-4024-4bbe-91DC-9704C93F453E}]

 

pour {83de62e0-5805-11d8-9b25-00e04c60faf2}

=)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}]

 

pour {c5941ee5-6dfa-11d8-86b0-0002441a9695}

=)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C5941EE5-6DFA-11D8-86B0-0002441A9695}]

 

pour {fbed6a02-71fb-11d8-86b0-0002441a9695}

=) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBED6A02-71FB-11D8-86B0-0002441A9695}]

 

pour omniscient.exe

=) rien n'a ete trouvé

 

pour windows sa

=) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Windows SA]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SA]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SA]

"DisplayName"="Windows SA"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA

 

je te souhaite une bonne derniere journée d'année 2005

[Thanos]

salut steroban,bonne année mon zami !

 

Allez , il me reste encore un ou deux neurones actifs, malgré les 5 grammes qui circulent difficilement dans mon organisme (jour de l'an oblige!)

 

Registry Search Tool a trouvé la bêêête!!On va faire un fichier reg pour éliminer blazefind:

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 et une ligne vierge aprés la derniere ligne) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX compatibility\{71ED4FBA-4024-4bbe-91DC-9704C93F453E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C5941EE5-6DFA-11D8-86B0-0002441A9695}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBED6A02-71FB-11D8-86B0-0002441A9695}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Windows SA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA]

-Dans le menu "Fichier" , enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes

 

-Redémarre en mode sans échec.

 

-Clique sur le fichier reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.

 

-Redémarre,refais le scan en ligne Panda,et poste le rapport.

Edit:je viens de m'apperçevoir que j'avais ooublié de mettre un point entre remove et reg(dans le nom du fichier à créer)ésolé!!si tu ne met pas ce point , le fichier ne fonctionnera pas!!

Modifié le 1 janvier 2006 par charles ingals

[steroban]

bonsoir charles ,

bonne année a toi et bonne santé ( c'est bien le principal , non ? )

 

charles avec seulement 1 ou 2 neuronnes actifs est quand meme meilleur qu'un steroban avec tous ces neuronnes

j'ai bien creer le fichier mais lorsque je le lance ( en mode sans echec ) un message apparait disant

les informations de c:\.....\remove.reg ont ete inscrites au registre .

est ce bien la reponse que l'on doit attendre ?

car il ne se passe rien d'autre ....

j'ai demarré un panda mais il me trouve toujours 1 logiciel espion .

donc c'est pour ca que j'ai des doutes sur la manipe que j'ai faite .