infection par cheval de troieRésolu/Fermé

Question

Bonjour,
    Je m'adresse pour la 1ère fois à un forum, désolée d'avance de ne pas tout bien faire.

Samedi 09/02/08, ma fille a ouvert une icone se trouvant sur son bureau nommée "aswRdr" cela a instantanément ouvert une photo d'un homme typé méditerranéen puis l'ordinateur protégé par AVAST version familiale s'est mis à indiqué que celui-ci était infecté par un cheval de troie à l'adresse suivante : c\windows\systeme32\drivers\aswRdr.sys. Cela est arrivé après que l'on se soit connecté sur un site de film en streaming et que l'on ait téléchargé "le Noël de Streck". Bonjour le cadeau !!!
Le logiciel conseillait la mise en quarantaine mais cela a été refusé pour la raison suivante : fichier (ou virus, je ne me rappelle plus) non empaqueté. J'ai essayé les autres propositions : déplacer le fichier, supprimer et même ne rien faire sans aucun succès. J'ai essayé de le placer dans la corbeille ainsi que d'autres fichiers (icônes) qui s'étaient affichés sur le bureau. Les autres fichiers avant de les ouvrir, j'ai fait clic droit : avast et il me semble qu'ils sont partis dans la zone de quarantaine sauf le premier fichier qui a été ouvert. De plus, le logiciel m'indiquait à chaque fois que je voulait sortir de la boite de dialogue avertissement un chemin d'accès et un nom de fichier différent.
Enfin, en désespoir de cause j'ai éteins l'ordinateur. Mais maintenant, quand je veux le rallumer, je suis sur la page DOS ou j'ai le choix minuté : windows mode sans échec (réalisé la 1ère fois, je n'ai pas pris de décission avant la fin du compte à rebours), dernière configuration de windows (2ème essai, après réflexion !). Chaque fois, après avoir la barre de Windows XP, j'ai quelques ligne de la page suivante : mémoire, etc ... puis cela recommence à la page DOS.
Je ne sais pas que faire. Ma fille est désespérée, nous avons peur d'avoir perdu toutes les données, fichiers, photos, musiques.
Mille mercis pour votre aide.

math · Answer

Va sur http://pc-solutions.xooit.fr ils connaissent Avast ils pourrons peut etre te renseigner

Utilisateur anonyme · Answer

bonjour clic sur ce lien et stop le redemarrage intempestif : http://www.commentcamarche.net/faq/sujet 413 plantage reboot intempestif du pc#8 les virus

une fois la manip executee signal toi sur ce poste pour commencer ta desinfection

Utilisateur anonyme · Answer

note bien la manip pour stopper le  reboot intempestif 

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

execute la manip pour le reboot intempestif

Utilisateur anonyme · Answer

redemarre en mode normal , pour celas redemarre ton pc 

Télécharge sur le bureau"hijackthis"
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
double Clic sur Hijackthis
clic droit sur Hijackthis ==> renommer ==> écrire : eden.exe ( à la place de hijackthis.exe) <== Important
Double-clic dessus
Clic Do a system scan and save the log
coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm





télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

Utilisateur anonyme · Answer

reviens tout de meme rapidement car ce qui est dans ton pc vas te le pourir un maximum  !

Utilisateur anonyme · Answer

bonjour redemarre en mode sans echecs avec prise en charge reseaux connecte toi telecharge combofix deconnecte toi et execute le !

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Utilisateur anonyme · Answer

en mode sans echec ton pc reboot aussi ?

Utilisateur anonyme · Answer

tu as bien tapote f8 juste quand la page de chargement window s'affiche ? 

 Nous serons capable de tailler la montagne du desepoir . En diamant de l'espoir . Fort de cette fois, nous serons capable de changer dans notre nation le son de la discorde en une merveilleuse symphonie de fraternite , ....!!

Utilisateur anonyme · Answer

juste quand tu passe de l'ecran noir a la premiere image avec le curseur de chargement tu tapotte doucement f8 et la normalement window demarre en te proposant plusieurs type de demarrage tu choisis avec prise en charge reseaux et viens te signaler sur ce poste si ca fonctionne

Utilisateur anonyme · Answer

je suis en train de me renseiller aupres d'une personne qui en connais plus que moi peu tu me dire quand tu demarre ton pc ce que tu peu atteindre  ( le bureau , gestionnaire de tache .....)  arrive tu a voir ton fond d'ecran ?

Utilisateur anonyme · Answer

on viens d'en discuter avec g!rly qui est tres douee dans ce domaine , il y a une solution pour que tu ne perde pas le contenus de ton pc ,c'es tla reparation de window a partir du cd fournis avec ,rend toi sur ce lien et imprime la procedure pour reparer le systeme , ensuite il te faudras revenir sur le forum afin d'eliminer la bete qui te cause tant de soucis car la reparation ne la detruis pas elle va juste permettre a ton system de redemarrer ensuite g!rly viendras proceder  ta desinfection voici le lien ou tu trouveras la manip a effectuer pour reparer ton systeme :: http://www.informatruc.com/reparer-windows-xp/

Utilisateur anonyme · Answer

bonjour 

Télécharge sur le bureau"hijackthis"
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
double Clic sur Hijackthis
clic droit sur Hijackthis ==> renommer ==> écrire : eden.exe ( à la place de hijackthis.exe) <== Important
Double-clic dessus
Clic Do a system scan and save the log
coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

g!rly · Answer

Pour suivre ;-)

Utilisateur anonyme · Answer

bonsoir il vas y avoir du travail ton pc est bien infecte , commence par ceci 
pense a me copier et a coller les rapports dans tes reponses afin que nous puissions les analysers


Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt


Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse


ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

g!rly · Answer

salut sylviebeauduc,

peux tu poster un nouveau hijack this a la fin de cette discution stp

@+

g!rly · Answer

re,

fais ceci :

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

post le rapport generé

@+

g!rly · Answer

tu as fais navilog?

fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.Fais exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

post le rapport generé 

@+

g!rly · Answer

bonsoir sylviebeauduc,

peux tu refaire ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Post également un nouveau hijack this, je t´ecrirais en suite un script pour enlever les infections grace aux données receuillies

@+

sylviebeauduc · Answer

Bonsoir, Voici comme demandé le rapport de ComboFix puis de Hijackthis. Merci de me dire ce qu'il en est. A+ ComboFix 08-02-14.2 - Sylvie 2008-02-16 18:55:22.4 - NTFSx86 Endroit: C:\Documents and Settings\Sylvie\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-16 to 2008-02-16 )))))))))))))))))))))))))))))))))))) . 2008-02-16 09:26 . 2008-02-16 09:44 d-------- C:\Program Files\Navilog1 2008-02-15 22:47 . 2008-02-15 22:47 d-------- C:\WINDOWS\LastGood 2008-02-15 22:13 . 2008-02-15 22:13 d-------- C:\VundoFix Backups 2008-02-15 18:59 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-02-15 18:59 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-02-15 18:59 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-02-15 18:59 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-02-15 18:59 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-02-15 18:59 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-02-15 18:59 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-02-15 18:59 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-02-15 17:57 . 2008-02-15 17:57 d-------- C:\Program Files\Trend Micro 2008-02-15 17:55 . 2008-02-15 17:55 92,691 --a------ C:\WINDOWS\system32 xjddnvj.exe 2008-02-15 17:55 . 2008-02-15 17:55 4 --a------ C:\WINDOWS\system32\winfrun32.bin 2008-02-15 17:51 . 2008-02-15 17:51 d-------- C:\WINDOWS\LastGood.Tmp 2008-02-13 13:38 . 2008-02-13 13:38 d-------- C:\Program Files\xInsIDE 2008-02-13 13:29 . 2008-02-13 13:29 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico 2008-02-13 13:17 . 2008-02-13 13:17 12,598 --a------ C:\WINDOWS\system32\wpa.bak 2008-02-13 13:07 . 2006-03-02 13:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex 2008-02-13 13:06 . 2006-03-02 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll 2008-02-13 13:05 . 2006-03-02 13:00 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\smtpsnap.dll 2008-02-13 13:03 . 2006-03-02 13:00 364,544 --a--c--- C:\WINDOWS\system32\dllcache pdsplay.dll 2008-02-13 12:56 . 2006-03-02 13:00 139,400 --a------ C:\WINDOWS\system32\drivers dpwd.sys 2008-02-13 12:56 . 2006-03-02 13:00 139,400 --a--c--- C:\WINDOWS\system32\dllcache dpwd.sys 2008-02-13 12:56 . 2006-03-02 13:00 66,048 --a------ C:\WINDOWS\system32\SET19C.tmp 2008-02-13 12:56 . 2006-03-02 13:00 24,064 --a------ C:\WINDOWS\system32\SET19F.tmp 2008-02-13 12:56 . 2006-03-02 13:00 21,896 --a------ C:\WINDOWS\system32\drivers dtcp.sys 2008-02-13 12:56 . 2006-03-02 13:00 21,896 --a--c--- C:\WINDOWS\system32\dllcache dtcp.sys 2008-02-13 12:56 . 2006-03-02 13:00 12,040 --a------ C:\WINDOWS\system32\drivers dpipe.sys 2008-02-13 12:56 . 2006-03-02 13:00 12,040 --a--c--- C:\WINDOWS\system32\dllcache dpipe.sys 2008-02-13 12:56 . 2006-03-02 13:00 7,680 --a--c--- C:\WINDOWS\system32\dllcache\migregdb.exe 2008-02-13 12:55 . 2004-08-19 16:09 154,112 --a------ C:\WINDOWS\system32\irftp.exe 2008-02-13 12:55 . 2004-08-03 23:00 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys 2008-02-13 12:55 . 2004-08-19 16:09 28,160 --a------ C:\WINDOWS\system32\irmon.dll 2008-02-13 12:55 . 2004-08-19 16:09 8,192 --a------ C:\WINDOWS\system32\wshirda.dll 2008-02-13 12:28 . 2001-08-17 21:51 19,584 --a------ C:\WINDOWS\system32\drivers asirda.sys 2008-02-13 12:26 . 2006-03-02 13:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2008-02-13 12:26 . 2006-03-02 13:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll 2008-02-13 12:26 . 2006-03-02 13:00 13,312 --a------ C:\WINDOWS\system32\irclass.dll 2008-02-13 12:26 . 2006-03-02 13:00 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll 2008-02-09 11:04 . 2004-08-03 23:00 8,192 --a------ C:\WINDOWS\system32\drivers\SETE1.tmp 2008-02-09 10:59 . 2008-02-09 10:59 25,600 --a------ C:\WINDOWS\system32\socksys.dll 2008-02-09 10:41 . 2008-02-09 10:41 36,864 --a------ C:\WINDOWS\17PHolmes1089.exe 2008-02-09 10:33 . 2008-02-09 10:33 36,864 --a------ C:\WINDOWS\mrofinu1089.exe.tmp 2008-02-09 10:29 . 2008-02-09 10:29 58,368 --a------ C:\upaq.exe 2008-02-09 10:29 . 2008-02-09 10:29 58,368 --a------ C:\blhhjtpx.exe 2008-02-09 10:29 . 2008-02-09 10:29 54,764 --a------ C:\WINDOWS\system32\4fdw.dll 2008-02-09 10:29 . 2008-02-09 10:29 37,446 --a------ C:\kkynn.exe 2008-02-09 10:29 . 2008-02-09 10:29 10,752 --a------ C:\ylru.exe 2008-02-09 10:29 . 2008-02-09 10:29 10,752 --a------ C:\hkdjqaxv.exe 2008-02-09 10:29 . 2008-02-09 10:29 2 --a------ C:\1894465719 2008-02-07 07:18 . 2008-02-07 07:18 dr------- C:\Documents and Settings\Patrice\Application Data\Brother 2008-02-03 18:52 . 2008-02-03 18:52 d-------- C:\Program Files\Jeux Jurassic Park III 2008-02-03 18:52 . 2001-06-02 19:09 731,915 --a------ C:\WINDOWS\UnDangerz.exe 2008-02-02 16:15 . 2008-02-02 16:16 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-02-01 20:50 . 2008-02-01 20:51 d-------- C:\Program Files\GoPets Ltd 2008-01-24 12:29 . 2001-08-17 21:49 26,624 --a------ C:\WINDOWS\system32\drivers\irstusb.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-16 11:17 --------- d-----w C:\Documents and Settings\Lulu\Application Data\OpenOffice.org2 2008-02-16 09:30 --------- d-----w C:\Documents and Settings\Sylvie\Application Data\OpenOffice.org2 2008-02-16 08:55 --------- d-----w C:\Documents and Settings\Patrice\Application Data\OpenOffice.org2 2008-02-15 21:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-02-09 09:27 --------- d-----w C:\Program Files\DivX 2008-02-09 05:09 --------- d-----w C:\Program Files\eMule 2008-02-05 20:32 2,080 ----a-w C:\Program Files\Fichiers communs arzan.cfg 2008-02-05 20:01 21,052 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-02-05 20:01 15,144 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-02-05 20:01 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-02-02 15:33 --------- d-----w C:\Program Files\PonyGirl 2008-02-01 17:40 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-01-26 09:41 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-01-09 14:42 --------- d-----w C:\Program Files\Micro Application 2008-01-04 13:20 --------- d-----w C:\Program Files\Alice 2008-01-01 18:44 --------- d-----w C:\Program Files\UbiSoft 2007-11-28 17:48 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2007-11-28 17:48 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2007-05-04 05:16 565,248 --sha-w C:\Program Files\ehthumbs.db 2007-04-20 19:43 3,590 ----a-w C:\Program Files\Fichiers communs\DeIsL1.isu 2007-04-01 17:32 74,148 ----a-w C:\Documents and Settings\Lulu\unins000.exe 2007-04-01 17:32 19,953 ----a-w C:\Documents and Settings\Lulu\unins000.dat 2003-10-23 11:42 3,226,377 ----a-w C:\Documents and Settings\Lulu\Tortuga.exe 2003-05-26 14:35 24,064 ----a-w C:\Documents and Settings\Lulu\ExceptionDialog.exe 2003-04-02 07:26 196,685 ----a-w C:\Documents and Settings\Lulu\WalhallaExtension.dll 2002-12-20 12:37 65,536 ----a-w C:\Documents and Settings\Lulu\libsigc.dll 2002-10-07 16:33 64,512 ----a-w C:\Documents and Settings\Lulu\Archiver.dll 2002-10-07 16:33 56,320 ----a-w C:\Documents and Settings\Lulu\Aim.dll 2002-10-07 16:33 201,216 ----a-w C:\Documents and Settings\Lulu\Aim20.dll 2002-10-07 11:16 67,072 ----a-w C:\Documents and Settings\Lulu\WalParticleSystem.dll 2002-10-07 11:16 457,216 ----a-w C:\Documents and Settings\Lulu\Walhalla.dll 2002-10-07 10:19 84,480 ----a-w C:\Documents and Settings\Lulu\WalType.dll 2002-10-07 10:14 3,584 ----a-w C:\Documents and Settings\Lulu\CpuDetect.dll 2002-10-07 10:00 135,225 ----a-w C:\Documents and Settings\Lulu\WalSks.dll 2002-10-07 09:57 114,176 ----a-w C:\Documents and Settings\Lulu vlinker.dll 2002-06-01 21:25 1,351,750 ----a-w C:\Documents and Settings\Lulu\SchnellTransfer.dll 2002-02-12 10:57 774,144 ----a-w C:\Documents and Settings\Lulu\stlport_vc645.dll 2001-05-04 12:05 290,869 ----a-w C:\Documents and Settings\Lulu\msvcrt.dll 2001-01-19 12:04 180,224 ----a-w C:\Documents and Settings\Lulu\Ijl11.dll 2000-11-13 13:13 351,744 ----a-w C:\Documents and Settings\Lulu\Mss32.dll 2000-10-18 15:46 120,320 ----a-w C:\Documents and Settings\Lulu\binkplay.exe 2000-03-06 22:00 434,252 ----a-w C:\Documents and Settings\Lulu\MSVCRTD.DLL 1999-12-11 05:00 995,383 ----a-w C:\Documents and Settings\Lulu\mfc42.dll 1999-11-30 23:40 401,462 ----a-w C:\Documents and Settings\Lulu\msvcp60.dll 1999-11-06 16:03 1,330,523 ----a-w C:\Program Files\Fichiers communs arzan.exe 1999-10-12 14:52 50,143,671 ----a-w C:\Program Files\Fichiers communs arzan.fsd 1999-10-08 11:41 136,906 ----a-w C:\Program Files\Fichiers communs arzan.hlp 1999-03-18 16:51 766 ----a-w C:\Program Files\Fichiers communs\help.ico 1999-03-18 15:57 766 ----a-w C:\Program Files\Fichiers communs\uninstal.ico . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 17:29 68856] "Carr"="C:\DOCUME~1\Sylvie\APPLIC~1\PPPATC~1 tvdm.exe" [ ] "Lqsqmxd"="C:\WINDOWS\W?nSxS\?hkntfs.exe" [ ] "xInsIDE"="C:\Program Files\xInsIDE\xInsIDE.exe" [2008-02-13 13:38 57344] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 19:58 7581696] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648] "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 18:17 57393] "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 18:30 40960] "BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-03-28 14:48 622592] "SetDefPrt"="C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 17:02 49152] "ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2006-04-10 13:58 61440] "nwiz"="nwiz.exe" [2006-07-20 19:58 1519616 C:\WINDOWS\system32 wiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-09-12 15:58 16264192 C:\WINDOWS\RTHDCPL.EXE] "SkyTel"="SkyTel.EXE" [2006-05-16 17:04 2879488 C:\WINDOWS\SkyTel.exe] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360] C:\Documents and Settings\Patrice\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 15:54:56 393216] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-07-27 17:29:54 124912] Windows Desktop Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 14:40:46 118784] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 14:39 294400] *Newly Created Service* - CATCHME . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-02-16 17:05:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job" - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-16 18:57:24 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-16 18:57:45 ComboFix-quarantined-files.txt 2008-02-16 17:57:42 ComboFix2.txt 2008-02-15 17:40:46 . 2008-02-16 17:49:45 --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:58:46, on 16/02/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\xInsIDE\xInsIDE.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE oolbar.dll (file missing) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file missing) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Carr] "C:\DOCUME~1\Sylvie\APPLIC~1\PPPATC~1 tvdm.exe" -vt ndrv O4 - HKCU\..\Run: [Lqsqmxd] C:\WINDOWS\W?nSxS\?hkntfs.exe O4 - HKCU\..\Run: [xInsIDE] C:\Program Files\xInsIDE\xInsIDE.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-3738314888-291948053-4048792534-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-3738314888-291948053-4048792534-1008\..\Run: [Lqsqmxd] C:\WINDOWS\W?nSxS\?hkntfs.exe (User '?') O4 - HKUS\S-1-5-21-3738314888-291948053-4048792534-1008\..\Run: [xInsIDE] C:\Program Files\xInsIDE\xInsIDE.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing) O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing) O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

g!rly · Answer

re,

a l´aide de hijack this coche et fix 

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll (file missing)
O4 - HKCU\..\Run: [Carr] "C:\DOCUME~1\Sylvie\APPLIC~1\PPPATC~1
tvdm.exe" -vt ndrv
O4 - HKCU\..\Run: [Lqsqmxd] C:\WINDOWS\W?nSxS\?hkntfs.exe
O4 - HKUS\S-1-5-21-3738314888-291948053-4048792534-1008\..\Run: [Lqsqmxd] C:\WINDOWS\W?nSxS\?hkntfs.exe (User '?')

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis

Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

click sur option et décoche la case devant : delete prefect files

vide le manuellement :

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

ne redemarre pas le pc meme si il t´y invite

Copie le texte ci-dessous :

File::
C:\DOCUME~1\Sylvie\APPLIC~1\PPPATC~1
tvdm.exe
C:\WINDOWS\W?nSxS\?hkntfs.exe

Folder::
C:\Program Files\Macrogaming
C:\Program Files\eoRezo

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Carr"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

bon courrage ;-)

@+

g!rly · Answer

bonjour, 

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas 

redemarre en mode sans echec:

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait une fois en mode sans echec.

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xInsIDE"=-

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\Program Files\xInsIDE
C:\Program Files\Symantec

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement

a l´aide de hijack this coche et fix ceci :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis fais ceci :

click sur  « Démarrer » > puis  « Executer » > taper cmd > valide par ok

dans la fenetre noire tape ceci en respectant bien les espaces et guillemets 

sc stop "Planificateur LiveUpdate automatique" ==> [Enter]
sc config "Planificateur LiveUpdate automatique" start= disabled ==> [Enter]
sc delete "Planificateur LiveUpdate automatique" ==> [Enter] 

respect les espaces et guillemets.

Ceci c´est pour retirer un service obselette de norton...

puis

installes un par feu .

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

puis :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

donc post le rapport d´antivir anisi que celui d´Ot_move it et un nouveau rapport hijack this dans ta prochaine reponse...

ps : ca en fais des choses a faire?! >  Si tu ne comprends pas quelque chose, demandes moi!

Bon courrage.

@+

g!rly · Answer

Re,

si il y a des logiciels dans la langue shakespirienne a utiliser, mais les tutoriels sont eux en francais ;-)

oui ta fille, n´as pas vraiment fait attention, mais il ne faut pas lui en vouloir, c´est plutot les pirates a qui il faudrait faire un proces...

oui le pc doit etre lent car il y a encore des infections, mais apres les derniere manip ci dessus ca devrait aller mieux ;-)

Bonne soirée 

@+

g!rly · Answer

rebonsoir,

bon pas de panique

on va faire comme ca :

Copie le texte ci-dessous :

Folder::
C:\Program Files\xInsIDE
C:\Program Files\Symantec

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xInsIDE"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Fais le reste du post 40

Bonne soirée


@+

g!rly · Answer

Re,

oui desactive avast quand tu lance combofix

et pour le reste :

a l´aide de hijack this coche et fix ceci :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis fais ceci :

click sur « Démarrer » > puis « Executer » > taper cmd > valide par ok

dans la fenetre noire tape ceci en respectant bien les espaces et guillemets

sc stop "Planificateur LiveUpdate automatique" ==> [Enter]
sc config "Planificateur LiveUpdate automatique" start= disabled ==> [Enter]
sc delete "Planificateur LiveUpdate automatique" ==> [Enter]

respect les espaces et guillemets.

Ceci c´est pour retirer un service obselette de norton...

puis

installes un par feu .

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

puis :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

donc post le rapport d´antivir anisi que celui d´Ot_move it et un nouveau rapport hijack this dans ta prochaine reponse...

ps : ca en fais des choses a faire?! > Si tu ne comprends pas quelque chose, demandes moi!

Bon courrage.

@+

g!rly · Answer

ok tres bien ,-)

je te laisse faire la suite :

le reste :

a l´aide de hijack this coche et fix ceci :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\DOCUME~1\Mini\INetRepl.dll (file missing)
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis fais ceci :

click sur « Démarrer » > puis « Executer » > taper cmd > valide par ok

dans la fenetre noire tape ceci en respectant bien les espaces et guillemets

sc stop "Planificateur LiveUpdate automatique" ==> [Enter]
sc config "Planificateur LiveUpdate automatique" start= disabled ==> [Enter]
sc delete "Planificateur LiveUpdate automatique" ==> [Enter]

respect les espaces et guillemets.

Ceci c´est pour retirer un service obselette de norton...

puis

installes un par feu .

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

puis :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

donc post le rapport d´antivir anisi que celui d´Ot_move it et un nouveau rapport hijack this dans ta prochaine reponse...

ps : ca en fais des choses a faire?! > Si tu ne comprends pas quelque chose, demandes moi!

Bon courrage.

@+

g!rly · Answer

Bonjour sylviebeauduc,

Et bien !

sur les 65 en faite quelques uns sont dans la qurataine de l´outil que l´on a utilisé, d´autres dans la restoration system que l´on nettoiera a la fin, d´autres encore dans les fichiers temportaires et les autres etait belle et bien a la racine de c...

Pour kerio laisse le comme il est, sunbelt a arreté les mises a jour toute facon, ce qui ne rabaisse aucunement sa qualité.

on va passer ceci :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

@+

g!rly · Answer

Re,

Oui, on ne va pas dramatiser non plus ;-)

Pour antivir, oui tu as bien fais de tout mettre en qurantaine ;-)

Oui sdfix doit etre passé en mode sans echec et oui tu l´enrregistre sous > sur le bureau. Normalement il ne devrait pas y avoir de probleme avec le mode sans echec.

Pour kerio > tu as pris quelle version. la 4.2 ?

@+

g!rly · Answer

Ok

Bien joué pour sdfix, il nous a debarassé de trois sales bebettes ;-)

pour kerio desinstales ta version et prends la meme que moi ici ( j´ai hosté le fichier...)

http://sd-1.archive-host.com/membres/up/1366464061/kerio-kpf-422-911-win.rar

puis

Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-> Click sur Démarrer Online-Scanner
-> Click maintenant sur J'accepte.
-> Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
-> Patiente pendant l'installation des Mises à jour.
-> Choisis par la suite l'analyse du Poste de travail.
-> Sauvegarde puis colle le rapport généré en fin d'analyse.

ps : c´est long, mais...

bon courrage`

@+

g!rly · Answer

re,

hosté ca veux dire que je t´ai envoyé le fichier par l´intermediaire d´un service qui stock des fichiers...

pour le dezipper > ouvrir le fichier rar : regarde ceci :

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

puis fais le scan en ligne kaspersky avant de le passer, passe clean up 40 ; ca ne fera pas de mal :

Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

click sur option et décoche la case devant : delete prefect files

vide le manuellement :

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

@+

g!rly · Answer

sylviebeauduc,

activ x :

As tu accepter les activ X ?

   si non vérifie comme ceci :

-> menu : 
  
  "Outils" ->

  "Options Internet" d'Internet Explorer :

   dans l'onglet "Sécurité", places toi sur la zone "Internet" et clique sur "Valeurs par défaut".

   dans onglet "Avancé" clique aussi sur "Valeurs par défaut".

-> Vérifie également que les activ X sont bien paramétrés comme ceci :

   http://membres.lycos.fr/dude2005/reglages/activex_scan.png

-> Reconnecte-toi sur le site de https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr tu verras qu'avant de télécharger l'activ X,

   au dessus dans la barre de Internet Explorer, il faut l'autoriser.

dis moi si ca marche?

@+

g!rly · Answer

re,

c´est le menu d´internet explorer, en faite en ouvrant internet explorer tu clcik tout de suite sur "Outils" ->  et la suite...

@+

g!rly · Answer

bon...

ca va etre un petit plus compliqué mais si tu suis les explications il ne devrais pas avoir de soucis

Étape 1:
Télécharge eScan Antivirus Toolkit ici:

http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Tutoriel :

http://www.malekal.com/tutorial_eScan_antivirus_toolkit.php 

@+

g!rly · Answer

Bonjour sylviebeauduc,

Oui il vaut mieux faire ce genre de chose la tête reposée, ca passe mieux en générale ;-)

On a été patient avec moi, a mes débuts; pourquoi ne le serais-je pas a mon tour?!

Bon courrage a bientot`

g!rly · Answer

Bonjour sylviebeauduc,

Qui est l´administateur du pc ? ca ne serait pas toi desfois ?!

sinon redemarre sur la session de ton mari ou celle de tes enfants...

- étape 4 - §1: tu me demande de chercher le fichier mwavscan.com dans C:\Kaspersky. Or, avant de passer en mode sans échec, j'ai chercher ce fichier et à ce nom, sans l'extension, je n'ai trouvé que mwavscan (application MS-DOS). Question : s'agit-il bien du bon fichier? 

Oui c´est bien celui la.

- étape 4- §4 : tu indiques de cocher la boîte DRIVE qui donne accès à un bouton rond "Drive"( aussi). Tu me demandes de choisir la lettre de mon disque dur (C:\). Dans le tuto que tu m'as transmis, sous la case carrée cochée DRIVE, il y a 2 boutons ronds : Drive et All Local drive.
Question: c'est bien ce bouton rond qu'il faut cocher et qui doit ouvrir une nouvelle boîte où le choix du disque dur doit être fait. Dans le tuto, il n'y a pas cette étape et avant de me lancer, je veux être bien sure d'autant plus que tu précises que c'est très important !

Tu coches la case carré drive qui donne acces a drive et local drive, la tu coches la case ronde drive et dans la boite rectangulaire a droite tu indiques c:\

@+

g!rly · Answer

De rien ;-) 

@+

g!rly · Answer

Salut sylviebeauduc,

kaspersky a deniché ce virus inconnu :

File C:\Documents and Settings\Cricri\Application Data\SecuROM\UserData\???????????p?????????

qu´il a renomé...

Le reste des trouvailes sont soit les outils que nous avons utilisés ici, ou sont dans la quarantaine des outils utilisés...

La restauration est aussi touché -> on la désinfèctera en dernier par une simple manip`

Donc c´est plutot prometeur ;-)

Comment se porte ton pc maintenant?

@+

g!rly · Answer

Bonjour sylviebeauduc,

Tu n´as pas a t´excuser...

Oui il y avait un virus dans les document de ta fille Christel; d´apres kaspersky, il s´agissait d´un virus inconnu car comme tu voie son nom est cripté par des ????. En tout cas il a ete renomé et est donc inofenssif maintenant...

Le reste des trouvailles = ce que kaspersky a detecté en plus du virus dans les documentds de ta fille. Mais ces trouvailles ne sont pas dangereuses si ca peu te reconforter...

Pour le blason dans la barres des taches, il correspond bien aux mises a jour de securité de windows; tu dis cependant qu´elles ne ce font pas toutes?

Peux tu preciser lesquelles ne peuvent pas etre effectuées?

@+

sylviebeauduc · Answer

Bonjour Girly,

Bien vu ceux sont bien des mises à jour de sécurité Windows. Voici celles qui n'ont pas pu être installées :

Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB890859)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB920683)
Windows Internet Explorer 7 pour Windows XP

A+

g!rly · Answer

Bonjour Sylvie,

Ca en fait pas mal !

On va essayer comme ca :

téléchargé le programme suivant:Dial-a-fix v0.60.0.24.
1. Pour télécharger la dernière version de ce programme, rend toi à cette adresse:
http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip
2. Une fenêtre intitulée "Téléchargement de fichiers" te demandera si tu veux exécuter ou enregistrer le fichier, clique sur "Enregistrer".
3. Dans la nouvelle fenêtre clique dans la colonne à gauche sur "Bureau" puis "enregistrez sous" en bas à droite.
4. Une fois le programme téléchargé, ferme ton navigateur et fait un clic droit sur le dossier "Dial-a-fix" présent sur ton bureau.
5. Clique sur "Extraire ici" ou "Extraire tout" puis "Suivant" , "Suivant" et "Terminer", un dossier nommé " Dial-a-fix " est alors créé.
6. Double clique sur le dossier " Dial-a-fix " puis sur le fichier " Dial-a-fix.exe "
NB: Il est possible que juste avant cela tu obtiene une fenêtre t'indiquant que des problèmes ont été détectés. Décoche alors la case "Hide disabled", puis clique sur "Remove" et sur "Close".
7. Dans la fenêtre principale, clique sur le bouton vert pour tout cocher. Clique ensuite sur "GO" et laisse le logiciel travailler. Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.
8. Clique enfin sur le bouton "Flush SoftwareDistribution".
Une fois la réparation terminée, ferme la fenêtre et redémarre l'ordinateur.
9. Relance ensuite Windows Update.

Dis moi si ca marche

@+

g!rly · Answer

Re, 

Oui là; c´est carrement un paquet!!!

Essaie ce que je t´ai mis ci dessus (post 80)

@+

g!rly · Answer

;-)

Merci , bonne journée a toi également`

@+

g!rly · Answer

Bonsoir sylvie,

Pour le moment fais toutes les mises a jour ( bon courrage ;-); Puis va dans panneau de configuration > centre de securité > verifie que les mises a jour sont sur le mode automatique.

Dis moi quoi ?

Je vais me coucher...

@ demain`

g!rly · Answer

Bonjour sylvie,

Bien dormie?

Comment ca kerio te fais chi..?

Tu l´as reactiver j´éspère?!

Sinon regarde ici :

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

Comment c´est passée cette scéance de mise a jour?

Tu as bien verifier que les mises a jour etaient sur le mode automatique?

Peux tu me donner un avis globale sur ton pc ?

Bonne journée ;-)

@+

g!rly · Answer

Salut sylvie,

Tres bien pour les mises a jour...

Les messages de kerio a sa reouverture sont normaux...

A l´avenir regarde meme qu´un soit peu ce qu´il t´annonce et essaie de prendre la meilleure decision ( parfois il vaut mieux refuser si on ne sait pas )

Bon on dirait que tout commence a rentrer dans l´ordre !

Passe encore ceci :

Télécharge Clean:

-> http://www.malekal.com/download/clean.zip

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.
   
   Un rapport va s'ouvrir, copie et colle le contenu sur le forum.

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :

   http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

Ps . si il te demande d´uploader le fichier up_load_moi sur le site de malekal morte fais le en coupant kerio le temps de l´envoie...

Post donc le rapport de l´option 1 stp

@+

Utilisateur anonyme · Answer

bonsoir sylviebeauduc ,bonsoir g!rly, sylvie sois patiente g!rly as une vie privée a entretenir .
pour avancé g!rly

clean :

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt

Utilisateur anonyme · Answer

voici la repnse :

Première explication: LE MODE SANS ÉCHEC (MSE)                           ( par afideg )

• -Le mode sans échec est le mode diagnostic de Windows.
Lorsque vous démarrez votre ordinateur en mode sans échec, seuls les composants spécifiques nécessaires à l'exécution du système d'exploitation sont chargés.
-Le mode sans échec ne permet pas certaines fonctions, comme la connexion à Internet par exemple.

•- Il charge également un pilote vidéo de base avec une basse résolution, ce qui explique l'aspect différent de vos programmes et du bureau de Windows.
-Les icônes du bureau peuvent également avoir changé d'emplacement en raison de cette basse résolution.

• - Il y plusieurs raisons qui peuvent nous amener à redémarrer en mode sans échec, ici, je n'évoque que celles qui nous concernent.
a)- Pour beaucoup de fichiers et en particulier les fichiers malwares, il est impossible de les supprimer car ils sont en exécution. Si on fait l'essai, pour la plupart on obtient un message d'erreur nous indiquant que le fichier est actuellement utilisé par quelqu'un ou par une application. Donc, en démarrant en mode sans échec, seulement les fichiers nécessaires sont chargés; la suppression de fichiers malwares est maintenant possible du fait de leur inactivité.
b)- Le Mode sans échec permet, en cas de problème, de démarrer le PC en chargeant le minimum de pilotes, de façon à identifier l’élément qui a provoqué l’incident et effectuer de nouveaux réglages. 

il faut executer l'option 2 de clean en mode sans echecs . passe une bonne soirée et nuit .

g!rly · Answer

Bonsoir sylvie et mlking ;-)

Bon on va laisser tomber le mode sans echec pour clean .

Fais ceci sylvie.

Télécharge ceci: (by Moe) :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe 

Double clic sur Lopxpsetup.exe pour lancer l'installation
Au menu, choisir l'option 1
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
Une rapport sera alors crée, à copie/colle en entier sur le forum. 

Ps : comme cela en meme temps cela va nous permettre de voir le reste des programmes.

@+

g!rly · Answer

Bonsoir sylvie,

Oui pas grave pour la panique; mais je croyais que tu savais redemarrer en mode sans echec maintenant?!

voila pour adverts :

si tu as encore ot_move it ne le reprends pas :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\Program Files\Adverts

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Post le rapport stp ansi qu´un nouveau hijack this dans ta réponse.

Bonne soirée`

@+

g!rly · Answer

Bonsoir sylvie,

Ca va, tu as passée un bon week end ? ;-)

A l´aide de hijack this coche et fix les lignes ci dessous :

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis vides tes fichiers temporaires et corriges les erreures a l aide de :

Ccleaner:

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

   http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner

-> L´installer.

-> Une fois installé et lancé :

   Dans la colonne de gauche, click sur :

   ->"erreurs" :

      Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
      
      ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

   ->"nettoyeur"
   
      quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

-> Tutoriel en image :

   https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

   http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

et nettoie ton registre avec regcleaner :

telecharge et instal regcleaner:

http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html

tutorial :

http://www.softastuces.com/tuto/maint/regcleaner/

dis moi comment va ton pc...

@+

g!rly · Answer

Bonsoir sylvie,

J´espere que tes "vacances se sont bien passés ;-)

C´est la derniere ligne droite !

Pas besoin de poster les rapports juste un nouveau hijack this suffira...

@+

g!rly · Answer

resalurt sylvie,

tu parles surement de clean up 40 > si tu veux vider les fichiers du dossier prefect va dans le dossier prefect qui est dans le dossier windows et supprime tout sauf le fichier layout.ini

c:\windows\prefect

pour ce faire tu dois afficher les dossiers cachés 

Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

oh tu sais on peut se dire plein de choses ici, mais si tu le veux on peut le faire en mp ( message privé ) pour ce fair tu click sur girly dans la barre bleu et une fois que tu voie mon profil tu m´ecris un nouveau message en clickant sur la fonction du meme nom...

comme tu le sents ;-)

post un nouveau hijack this, meme si je pensse que ce n´est pas la peine...

@+

g!rly · Answer

bonjour sylvie, 

pour regcleaner regarde ceci :

https://forums.cnetfrance.fr   

ps : tu ne t´occupes pas de mettre des programmes en liste ignoré tu fais tout le reste...

Pas de chance, en effet pour les messages perso, j´avais pas fais gaffe > mais oui tu es inscrite en utilisateur anonyme...

Je suis sur que tes vacances ce sont bien passées, non ?! ;-)

@+

g!rly · Answer

Sylvie,

info:

tu as installé une nouvelle saloperie !!! attention !!!

si tu as encore ot_move it pas la peine de le reprendre...

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\Program Files\EoRezo

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

repost egalement un nouveau hijack this

pour regceaner l´orsque tu fais : nettoyage du registre > tout faire tu dois avoirr une liste de cles superflues et non une liste de programme, enfin le fait que tu post la list m´apermis de voir eorezo ;-) ...

---

les vacances ;-)

j´ai eu le sentiment pendant un moment d´etre partie avec vous > tu decris bien ;-)

ca doit etre vraiment tres jolie comme region ! meme si le manque de neige a gaché un peu le tout...

oui climatiquement, c´est plus ce que c´etait (réchaufement) ! 

j´habite en finlande a helsinki (sud) et cette année pas vraiment d´hiver ?!
La mer n´est pas gelée, pas pu aller me prommener sur la "banquise" en me prenant pour jesus ! ;-(
Il y a un peu de neige, mais elle fond presque aussi vite etre tombée...
la temperature n´est pas descendu au dessous de -10 ?!
Y a quelque chose qui ne tourne pas/plus rond, serait-ce la planette !?

@+

g!rly · Answer

Sylvie,

Je suis finnoise d´origine, j´ai habité une quinzaine d´année en france ce qui explique mon francais ;-)

oui la langue de shakespear n´est pas facil aux oreilles des francais, une histoire de tonalité m´a-t-on expliqué...

Ce qui me fais rire c´est d´enttendre les francais le parler LOL

Oui le sud de la france j´aime bien, j´ai habitée un peu a Marseille a un moment (super).

deviens membre si tu veux pousser la causette ;-)

Eorezo, est une une vrai usine a gaz, il te predit la pluie et le beau temps, d´autre choses aussi surement mais que je ne connais pas, jamais essayé car il instale aussi un spyware...

repost egalement un nouveau hijack this avec le rapport d´ot_move it...

@+

sylviebeauduc · Answer

Bonsoir Girly,

J'ai donc appliqué OTMoveIt2 dont voici le rapport :

[Custom Input]
< C:\Program Files\EoRezo  >
File/Folder C:\Program Files\EoRezo not found.
 
OTMoveIt2 v1.0.20 log created on 03032008_204548

Voici aussi le rapport hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:03, on 03/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\RegCleaner\RegCleanr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3738314888-291948053-4048792534-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

g!rly · Answer

Bonsoir sylvie,

C´est bon signe si ot_move it ne trouve pas eorezo ;-)

Peux tu quand meme verifier dans > panneau de configuration > ajoue et suppretion de programme qu´il n´y soit pas...

Le hijack this me parait propre.

maintenant on va finir par un scan avec ton nouveau antivirus antivir :

regardes encore ceci ci dessous pour le regler comme il faut avant de le lancer :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

post le rapport ici et dis moi pour eorezo

pour devenir membre tu click en haut de la fentre lorsque tu te connecte sur : inscivez vous, c´est gratuit et tu choisies de devenir membre...

Tiens peut etre un point positif > il a neigé des masses ce week end par ici ;-)
La mer commence a geler ;-)
C´est pas encore perdu!?

@ bientot`

g!rly · Answer

Bonsoir sylvie,

oui j´ai profité de la neige comme j´ai pu, en me promenant uniquement, grrrr il fait froid ;-)
J´ai aussi fait du patin a glace l´autre jour ;-)

---

ok pour eorezo ;-)

Pour le rapport d´antivir oui il a l´air plutot optimiste ;-) 

mais la premiere fois tu avais mieux effectués les reglages

car dans celui ci (scan)

je voie :

Scan memory......................: off
Process scan.....................: off
Scan registry....................: off 

et dans l´autre :

Scan memory......................: on
Process scan.....................: on
Scan registry....................: on

tu as du toucher a quelque chose ?!

pourrais tu le refaire stp ?

Apres cette verif ca devrait etre terminé !

Oui essaies de t´inscrire ;-)

@+

g!rly · Answer

bonjour sylvie,

j´ai de la chance >  tout est relatif, aujourd´hui la tempete fait rage, la neige te fouête le visage, pas tres cool ;-(

c´est bien etrange que tu ne trouve pas la fonction pour cree un compte en tant que membre ?!

moi je ne peux t´envoyer de message privé, car tu n´ai pas membre, tu voie ?!

pour les fonctions dans antivir ca se passe ici :

click sur l´icone d´antivir > la fenetre va s´ouvrir, tu click sur configuration > dans la nouvelle fenetre, veilles a ce que experte mode soit coché, puis a gauche click sur scanner et coche toutes les cases a droite sous additionnal settings.

fais un essaie : tu lance le scan et l´arrete et regarde le rappport et verifie que tu as ca : 

Scan memory......................: on
Process scan.....................: on
Scan registry....................: on 

dis moi quoi

@+

sylvbeauduc · Answer

Bonjour Girly,

Je vais te faire rire (ou râler !!), ici aussi on gèle : -3°C ce matin avec un superbe soleil !!

Ce soir je vérifie la configuration d'antivir

Je me suis réinscrite sous le pseudo de "sylvbeauduc", j'espère en tant que membre. En tout cas je remarque que c'est ce pseudo qui s'affiche en haut de cette réponse avec l'information que mon email est masqué ????
Bon j'essaye de suite

A+

g!rly · Answer

Bonsoir Sylvie,

c´est bon pour les fichiers trouvés ;-)

vides ta corbeille ;-)

puis fais ceci :

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

pour antivir : click droit sur l´icone dans la barre des taches puis dans la fenetre d´antivir la principal, click sur start update a droite souligné en bleu...

dis moi si il se met a jour ?! ( ca peu etre long )

Je t´ai repondu (message privée)

regardes en haut a droite;  tu dois avoir un numero qui clignote a coté de l´icone lettre...

click sur l´icone lettre pour acceder a tes messages privées...

@+

g!rly · Answer

bonsoir sylvie,

Bon anniversaire &#9786;

Voila la page de ton profil :

http://www.commentcamarche.net/communaute/profil sylvbeauduc

si tu click sur messages postés > tu va voire notre discution > les 129 messages postés donc je pensse que les deux profils ( anynome et membre ont ete fusionnés)

Quand tu te connecte au site en haut a droite il y a deux cases;  là tu entres ton pseudo, dans la case du dessous tu entres ton mot de passe. Au meme endroit (haut a droite) une fois connecté tu va voir ton pseudo et en dessous nouveau(x) message(s) tu click dessus sur la nouvelle page tu vas voir le message privée que tu m´a envoyé ainsi que ma reponse ;-)

oui ca serait sympas de pousser un peu la causette ,-)

pas facile hein ?!

puis fais encore ceci :

Affiches tous les fichiers et dossiers :

Pour cela :

Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

puis vas dans le dossier >

c:\RECYCLER

et supprime les fichiers si dessous

C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc279.exe
C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc280.exe
C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc36.EXE 

recaches tes dossiers et fichiers cachés

Voila

@bientôt

g!rly · Answer

Re,

J´ai vu que tu m´as repondu en mp; ca y est le contact est etablie ;-)

Je te repondrais demain, vu l´heure tardive...

pour les fichiers dans recycler, on va faire essayer comme ceci :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : je pensse que tu l´as deja, enfin si tu ne l´as pas: http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc279.exe
C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc280.exe
C:\RECYCLER\S-1-5-21-3738314888-291948053-4048792534-1005\Dc36.EXE

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
 post le rapport

@+

g!rly · Answer

Bonsoir sylvie,

je n´ai pas vraiment eu le temps de repondre a ton mp, je le ferais...

tu as redemarré apres ot_move it?

oui si tu ne trouves pas les fichiers dans c:\recycler recaches tes fichiers cachés

pour le ! ca represente bien un i, mais je n´ai pas enttendu parler de ton information qui m´ettonne un peu du reste : 
j'ai vu par hasard que le "!" était apparemment une lettre de l'alphabet dans les pays nordiques.
je vais me renseigner?!
en realité j´ai choisie le ! pour i car il est utilisé dans plusieurs fix/outil de desinfection ;-)

@ bientot ;-)

g!rly · Answer

bonjour sylvie,

Passe encore ceci :

telecharge malwarebytes 

-> http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/anti-malware-sujet_197382_1.htm

tu l´instales, le programme va se mettre a jour automatiquement.

une fois a jour le programme va se lancer, clcik sur l´onglet parametre, tu coche la case : Arreter internet explorer pendant la suppression.

click sur l´onglet recherche maintenant et coche la case : executer un examun complet.

puis click sur rechercher.

laisses le scanner le pc, a la fin un rapport va s´ouvrir copie et colle le ici stp

@+

g!rly · Answer

Bonsoir sylvie,

Oui t´inquiete pas, si tu n´as pas le temps; moi aussi j´etais un peu longue a répondre ;-)

Oui recaches tes dossiers cachés en cochant la case masquer les fichiers cachés enfin l´autre case qui est au dessus de: afficher les dossiers cachés... ( mon pc est en finnois ;-)

oui quelqu´un a posté un message pour demander de l´aide egalement vers le debut de la conversation et ce message a pris le numero 135 je lui ai repondu en lui disant de faire son propre topik > message 136, donc il ne manque rien ;-)

je t´ai demandé de passer ce dernier outil car en regardant l´integralité du topik, l´autre jour; j ai remarqué qu´il restait sans doute quelques saloperies que malwarebytes devrait denicher...

Hi hi, pour envoyer une photo en lien dans ton message privée il faut que tu host l´image sur un serveur qui va te donner un lien que tu placeras dans ton message privée.

tu peux le faire avec ceci par exemple :

https://www.cjoint.com/index.php < photo limité a 500ko

tu click sur parcourir en haut de la page et recherche ta photo puis une fois uploadée, tu click sur crée un lien cjoint un peu en dessous, puis tu copie et colle dans ton message, le lien qu´il va te fournir...

ca va te donner un lien comme ceci : https://www.cjoint.com/?dpbaGkKQ3C < exemple, mais tu peux regarder :D

@ bientot ;-)

g!rly · Answer

sylvie,

kerio te previent que l´outil Malicious Software Removal Tool doit se mettre a jour, c´est un outil windows qui est censsé te debarrasser des logiciels malicieux, alors accepte ;-)

@+

g!rly · Answer

bonjour sylvie, 

ce n´est qu´une cle infecté...

* Double-clique sur OTMoveIt.exe pour lancer le programme,
si tu ne l´as plus : * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\{59a40ac9-e67d-4155-b31d-4b7330fcd2d­6}

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

puis fais ceci :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique. 

j´espere que tu arriveras a comprendre ce que je t´ai expliqué concerant le "hosting" de fichiers; je vais tacher de repondre a ton message privée;  j´attends d avoir un moment plus calme ;-)

@ bientot ;-)

g!rly · Answer

Bonsoir sylvie, 

Kerio t´avertie que la version d éssaie est arrivé au bout et que quelques options sont plus disponibles, mais ce n´est  pas grave...

oui pour le hosting de fichier, un jour peut etre ?! ;-)

sinon il y a cet autre adresse que tu peux egalemant utiliser pour hoster sans limitation de taille : 

http://www.archive-host.com/

il faut creer un compte...

moi aussi tu voie j´ai ete feignante, je vais te repondre (mp), promis...

@+

g!rly · Answer

sylvie, 

Oui ca me parait ok maintenant ;-)

Tes filles vont se rejouir ;-)

@ bientôt`

g!rly · Answer

sylvie, 

De rien`

Oui la bataille fut ardante ! Et tu t´es tres bien debrouillée ;-)

Ca y est je vais encore rougir LOL

Je me remets petit a petit a vivre la journée ;-)

Bonne nuit a toi egalement`

@ bientot par mp...

sylvbeauduc · Answer

Bonjour G!rly et aussi M.L KING

Hier dans l'euphorie de la victoire ... j'ai oublié de remercier M.L. KING qui avait eu la gentilesse de bien vouloir prendre en charge, dès mon appel au secours, mon problème "épineux" et qui m'a permit  de me lancer dans la désinfection de ce PC, non sans mal et non sans panique (notament lors des redémarrages en mode sans échec !!!). 

M.L. KING, avec le recul et discussions avec des personnes à qui je vante ce forum formidable dont les conseils sont très sérieux, j'apprécie d'autant plus, ton honnêteté quand, devant l'ampleur des dégats, tu a su en parler avec G!rly et ainsi me faire progresser dans le nettoyage du pc et non, comme apparemment cela se pratique parfois ailleurs, d'après ce que j'ai pu comprendre, m'entrainer sur des manip non adaptées ! Un grand bravo pour ton sérieux et honnêteté.

De plus, je te remercie de nous avoir mise en relation avec G!rly et ainsi de nous connaitre. 
Merci beaucoup M.L. KING.
A bientôt peut-être

PS : G!rly, je ne sais pas si M.L. KING va avoir connaissance de ce message ... et je ne sais pas comment faire. Peux tu faire le nécessaire pour lui transmettre, si cela ne te dérange pas. Je tiens à le remercier lui aussi. Merci d'avance.

g!rly · Answer

Bonjou sylvie, 

oui je vais lui montrer, il va etre ravi ;-)

@ bientot`

Utilisateur anonyme · Answer

bonsoir a vous deux vous allez bien ? merci d'avoir pensé a moi , même si je n'ai fait que trés peu , je suis content que tes ennuies sois terminés , comme je te l'avais dit a notre rencontre g!rly est trés forte ( je suis jalou , car je n'ai pas la moitié de ses competences !!) en tout cas je suis heureux que grace a moi vous ayez fait connaissance , j'aurais au moin servi a celas , lol  , je vous fait de grosses bises a toutes les deux !  bonne soirée a vous deux 


humblement ( lol )

Martin .

g!rly · Answer

;-)

Infection par cheval de troie

74 réponses

Discussions similaires

Newsletters