Besoin d'aide

[tornado]

Re,

 

 

/!\ ATTEND LA CONFIRMATION D'UN CONSEILLER EN SECURITE AVANT D'APPLIQUER CETTE PROCEDURE

 

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

 

A FAIRE AVANT LE REDEMARRAGE EN MODE SANS ECHEC

 

- Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

 

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

Sinon, tu peux sauvegarder la page web du tuto (comme indiqué précédemment) si cela te paraît moins compliqué ainsi.

 

 

- Télécharge mais ne lance en aucun cas FixWehbhancer --> ttp://securityresponse.symantec.com/avcenter/FixWebHancer.exe

 

Et met FixWebHancer.exe dans un répertoire dédié ( comme C:\Fixwebhancer)

 

 

 

- Puis Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe (très important).

 

--------------------------------------------------------------------------------------------------------------------------

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" :

 

 

- Webhancer

- BitTorrent --> voir mes précédents posts

- UltimateBet --> à part si c'est toi qui a installé ce logiciel

- Noble Poker

- Titan Poker } Ce genre de logiciel est souvent une source d'infection

- PartyPoker (affichage de popups, messages publicitaires ...)

- EmpirePokerMaster

- mrbookmakerfrMPP

 

 

 

3/ Aller dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Network Monitor

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

cliquer sur (b]Delete a NT service...[/b]

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

Network Monitor

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

 

4/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

O2 - BHO: (no name) - {842653F4-9130-BBE7-654B-C729D2F26896} - C:\WINDOWS\System32\xajl.dll (file missing)

 

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad13.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname13.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\Run: [w001725c.dll] RUNDLL32.EXE w001725c.dll,I2 00042f740001725c

O4 - Startup: BitTorrent.lnk = C:\Program Files\BitTorrent\bittorrent.exe

 

O9 - Extra button: MrB Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe

O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\Poker.fr\client.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe

O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

 

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0713d8608450fd...RdxIE601_fr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\cpvfat.dll (file missing)

O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\kmdlv1.dll (file missing)

 

 

 

 

- Fais "fix checked"

 

 

5/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

6/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

 

- C:\Program Files\Network Monitor

- C:\Program Files\Titan Poker

- C:\Program Files\mrbookmakerfrMPP

- C:\PROGRA~1\Poker.fr

- C:\Program Files\EmpirePokerMaster

- C:\Program Files\PartyGaming

- C:\Program Files\Noble Poker

- C:\Program Files\UltimateBet

- C:\Program Files\BitTorrent

 

- C:\windows\mousepad13.exe

- C:\windows\newname13.exe

 

- C:\WINDOWS\System32\xajl.dll

 

- w001725c.dll

 

 

 

- Vide la corbeille

 

 

 

NB: Les fichiers n'indiquant pas leurs chemins sont propbablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées.

 

 

 

7/ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\alcanshorty.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

8/ Lance Fixwebhancer.exe et clique sur "Start". Laisse le scan se terminer...

 

 

 

9/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

 

10/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

 

 

 

11/ Répète l'étape 9/

 

 

 

 

12/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis. Ajoute également le rapport de Fixwebhancer (copie le contenu du fichier texte généré dans le dossier C:\fixwebhancer

 

 

 

 

 

 

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 24 avril 2006 par tornado

[Thanos]

salut Zloofy , tornado

 

Elle est bien cette procédure j'ai juste fait une ou deux petites remarques en Mp à tornado pour qu'il modifie son précédent post. Je ne te colle pas ca dans un nouveau message par souci de clarté!il est préférable qu'il édite son post.

 

Sinon super boulot

 

@+

[tornado]

Salut Zloofy, charles ,

 

 

 

Charles Ingals a approuvé ma procédure ( )

 

Tu peux donc l'appliquer à présent...

[Zloofy]

Merci énormément Tornado et les autres pour vos précieux conseils et le temps passé à m'aider

 

J'ai juste quelques remarques à faire concernant la procédure.

 

Tous les logiciels de Poker qui sont installés l'ont été par moi et je ne pense pas qu'ils soit source d'infection vu le nombre très important d'utilisateurs et vu ce que ca me rapporte je me vois mal les désinstaller.

 

Je ne fais pas à usage dangereux de Bittorent (pas de warez ni de dvd piraté), je récupère des enregistements réalisées par des personnes que je connais, mais si il le faut je peux le supprimer.

 

Bon ben j'ai plus qu'à me mettre au boulot moi

Modifié le 24 avril 2006 par Zloofy

[Zloofy]

Rebonjour,

 

J' ai suivi la procédure, malheuresement n'ayant pas internet avant ce week end, je n'ai pas pu faire la mise à jour d'ewido ni tester si les spams avaient disparus (cependant adaware ne me trouve plus rien donc je suis plutôt optimiste).

 

Voilà les rapports:

Fixwebhancer:

Symantec Spyware.WebHancer Removal Tool 1.0.2

 

Spyware.WebHancer has not been found on your computer.

 

Ewido

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 15:11:07, 26/04/2006

+ Somme de contrôle: EADF7AB7

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Nettoyer et sauvegarder

C:\Documents and Settings\All Users.WINDOWS\.clamwin\quarantine\temp.frF6A4 -> Adware.Look2Me : Nettoyer et sauvegarder

C:\Program Files\eMule\Incoming\- multiplayer multitable poker tournaments. Learn to play and win money on the internet.zip/poker/Data/cstart.exe -> Adware.Casino : Nettoyer et sauvegarder

C:\Program Files\eMule\Incoming\- multiplayer multitable poker tournaments. Learn to play and win money on the internet.zip/poker/Data/gc.dll -> Adware.Casino : Nettoyer et sauvegarder

C:\Program Files\eMule\Incoming\- multiplayer multitable poker tournaments. Learn to play and win money on the internet.zip/poker/Data/gvmain.exe -> Adware.Casino : Nettoyer et sauvegarder

C:\Program Files\eMule\Incoming\- multiplayer multitable poker tournaments. Learn to play and win money on the internet.zip/poker/Data/mp-lobby.dll -> Adware.Casino : Nettoyer et sauvegarder

C:\Program Files\eMule\Incoming\- multiplayer multitable poker tournaments. Learn to play and win money on the internet.zip/poker/Data/mp-poker.dll -> Adware.Casino : Nettoyer et sauvegarder

C:\Program Files\Everest Poker\cstart-tmp.exe -> Adware.Casino : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 15:32:31, on 26/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\htpatch.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Bureau\hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Hotkey.lnk = C:\Program Files\ASUS\ASUS Hotkey\Hotkey.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: MrB Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe

O9 - Extra button: Poker.fr - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\Poker.fr\client.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Program Files\Titan Poker\casino.exe

O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe

O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Program Files\EmpirePokerMaster\EmpirePoker\RunEPoker.exe

O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe

O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0713d8608450fd...RdxIE601_fr.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Modifié le 26 avril 2006 par Zloofy

[tornado]

Salut zloofy !,

 

 

 

 

J'aimerais dire que ton rapport hijackthis est propre, mais ce n'est pas vraiment le cas... je m'explique.

 

Les logiciels de poker que tu utilises sont certainement la raison de tes infections, et sont très souvent apparentés à l'infection. Je veux bien "fermer les yeux" sur tes activités, mais le fait est que tu es infecté à cause de celles-ci. Donc si tu veux garder un système, la meilleure façon de ne pas être réinfecté est de changer tes habitudes, en désinstallant ces programmes.

 

Par ailleurs, en voyant ton rapport d'Ewido, je remarque que tu utilises Emule, un autre logiciel de p2p. Sûrement une autre raison pour laquelle ton système a été infecté... Je ne veux pas te forcer à le désinstaller, mais comme précédemment, c'est pour que tu gardes un système propre.

Ce lien va peut-être te faire réagir à ce propos --> http://forum.zebulon.fr/index.php?showtopic=85544

 

 

 

Enfin bref. Mis à part tes logiciels de poker, tu t'es débarassé du reste des infections, beau boulot

 

 

 

Pour vérifier si d'autres bestioles ne traînent pas sur ton pc , tu peux faire le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

 

 

Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

 

 

 

A+

Modifié le 27 avril 2006 par tornado

[Zloofy]

Salut Tornado,

 

Un dernier mot pour te dire que mon PC fonctionne à merveille à présent (plus de spams ni de ralentissements).

 

Je te remercie infiniment pour le temps que tu m'as consacré et pour ta procédure efficace.

 

 

Zloofy

[tornado]

Salut Zloofy,

 

 

Le scan en ligne de panda reste cependant nécessaire... il est fort possible qu'il trouve quelque chose.

 

Par ailleurs, notre but sur le forum n'est pas seulement de désinfecter le système, mais aussi de faire en sorte que le membre ne soit pas infecté à nouveau, en lui prodigant certaines règles à respecter pour garder un pc propre (ce que je ferais faire par la suite)

 

 

 

Voilà ...

Modifié le 1 mai 2006 par tornado

[Zloofy]

Très bien, je ne voulais abuser de ton temps pensant que la procédure était terminée mais comme tu la Panda a trouvé quelques infections.

 

Voici le rapport:

 

 

Incident Statut Analyse

 

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Bureau\l2mfix.exe[l2mfix/Process.exe]

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@ad.yieldmanager[2].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@adtech[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@advertising[2].txt

Spyware:Cookie/Adviva No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@adviva[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@atdmt[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@doubleclick[1].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@fastclick[2].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@fe.lea.lycos[1].txt

Spyware:Cookie/Hitbox No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@hitbox[2].txt

Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@media.fastclick[1].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@overture[2].txt

Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@statcounter[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\zloofy.ZLOOFY-H0CNZC2G\Cookies\zloofy@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\looktome\l2mfix\Process.exe

Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\WapCHK.dll

Adware:Adware/CommAd No Désinfecté C:\WINDOWS\emxvb2Z5\yAUSvZtc.vbs

Adware:adware/dollarrevenue No Désinfecté C:\WINDOWS\keyboard81.dat

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\mousepad10.exe

Adware:Adware/XPlugin No Désinfecté C:\WINDOWS\mousepad11.exe

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\mousepad9.exe

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\newname10.exe

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\newname11.exe

Adware:Adware/DollarRevenue No Désinfecté C:\WINDOWS\newname9.exe

Adware:Adware/Deskwizz No Désinfecté C:\WINDOWS\sk02.exe

Adware:Adware/SearchAid No Désinfecté C:\WINDOWS\uninstall_nmon.vbs

[tornado]

Salut Zloofy,

 

 

 

Bizarre qu'il y ait toujours la présence du ver Alcan Le bfu n 'aurait pas fait son boulot ?

 

 

Si tu n'as plus le BFU ainsi que alcanshorty. bfu, fais ceci :

 

- Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe (très important).

 

 

 

Voilà ce que tu vas faire pour supprimer les fichiers détectés par Panda :

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

2/ Désinstalle le logiciel suivant via le panneau "ajouter/supprimer des programmes" (si présent):

 

 

 

- Winantivirus => c'est un faux utilitaire de sécurité ! ; voir ce topic --> http://forum.zebulon.fr/index.php?showtopic=91285&hl=amaena

 

 

 

3/ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

alcanshorty.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore)

 

 

C:\looktome => tu n'en as plus besoin à présent

 

C:\Program Files\WinAntiVirus Pro 2006 => si présent

C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006

 

C:\WINDOWS\sk02.exe

C:\WINDOWS\uninstall_nmon.vbs

C:\WINDOWS\emxvb2Z5

C:\WINDOWS\keyboard81.dat

C:\WINDOWS\mousepad10.exe

C:\WINDOWS\mousepad11.exe

C:\WINDOWS\mousepad9.exe

C:\WINDOWS\newname10.exe

C:\WINDOWS\newname11.exe

C:\WINDOWS\newname9.exe

 

 

 

- Vide la corbeille

 

 

 

6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

7/ Redémarre en mode normal, fais à nouveau le scan en ligne de panda, et poste le rapport qui en résulte

 

 

 

 

 

 

A+ et travaille bien

Modifié le 3 mai 2006 par tornado