infecte au secour!!!Fermé

Question

Bonjour,depuis plusieurs jours des fenetres intempestives s ouvrent sans cesse avec des publiciter pour adultes et mon ordinateur rame j ai besoin d aide urgent s il vous plait j ai des enfants merci de votre reponse

Info Man · Answer

un anti-spyware (ad-aware, spybot, et cie) ? est-il à jour ?

cecile93100 · Answer

merci d avoir repondu si vite oui tout est a jour j ai avast comme anti virus et ad aware personnal

cecile93100 · Answer

personne pour m  aide!!!!!!!s il vous plait

cecile93100 · Answer

toujours personne pour m aider?

rafmos · Answer

J'ai aussi déjà eut ça. Et en fait, c'était quand j'ai fait un truc sur msn, il me semble, j'ai activé de la pub ! Peut-être c'est ça !

papyber · Answer

poste un rapport hjack this 
et aussi celui ci
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

cecile93100 · Answer

ok je ferait ca demain ver 16h30 merci de nous aidez

cecile93100 · Answer

je sui entrain de faire la scan navilog je vous poste ca dici 10 minutes

cecile93100 · Answer

voila le rapport
Search Navipromo version 3.4.2 commencé le 23/01/2008 à 17:10:42,89

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\WebMediaPlayer trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja_nav.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja_navps.dat



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Administrateur\local settings\application data" * 

Fichiers trouvés :

daqjja.exe trouvé ! 



*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 23/01/2008 à 17:16:07,95 ***

papyber · Answer

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valide. 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le bloc note va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le bloc note. Ton bureau va réapparaître 

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet 
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés : 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" 

> Supprime-les 

poste le rapport obtenu et un rapport hijack this

cecile93100 · Answer

ok je fait ca de suite
merci de m aider

cecile93100 · Answer

Search Navipromo version 3.4.2 commencé le 23/01/2008 à 19:12:58,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\local settings\application data" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Administrateur\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 23/01/2008 à 19:15:49,40 ***

cecile93100 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:18, on 23/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Administrateur\Application Data\WinButler\WinButler.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Windows\hudpsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.297\HijackThis.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Delete Phone Bird Five] C:\Documents and Settings\All Users\Application Data\wave boob delete phone\jump web.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\Administrateur\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\Administrateur\Application Data\Microsoft\Windows\hudpsv.exe
O4 - HKCU\..\Run: [globalwarn] C:\DOCUME~1\ADMINI~1\APPLIC~1\ERRORM~1\balm else.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O24 - Desktop Component 0: (no name) - http://estc.msn.com/br/hp/fr-fr/css/i/new.gif

papyber · Answer

Télécharge LopXPMH sur ton Bureau. 
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

 Dézippe-le et double clique sur le fichier lopxpMH.bat. 
 Poste le contenu du rapport qui va s'ouvrir.

cecile93100 · Answer

Rapport lopxpMH2 version 2.0 fait à 20:08:46,89 le 23/01/2008 C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\YFMFE5IN ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\Administrateur\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 19/10/2007 18:54 ACD Systems 17/10/2007 18:23 Adobe 23/01/2008 18:51 Auslogics 08/01/2008 19:46 dvdcss 02/01/2008 21:53 errormpeg 31/10/2007 23:43 Google 08/11/2007 20:14 Help 17/10/2007 18:13 Identities 03/01/2008 14:23 Lavasoft 15/11/2007 11:32 Leadertech 08/11/2007 18:45 Macromedia 17/10/2007 18:12 Microsoft 28/11/2007 12:57 SecuROM 18/11/2007 01:25 Shareaza 15/11/2007 23:32 vlc 08/12/2007 20:09 WinButler 17/10/2007 18:12 62 desktop.ini 1 fichier(s) 62 octets 18 Rép(s) 3 948 027 904 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 08/11/2007 20:11 Adobe 29/10/2007 00:05 Google 08/11/2007 20:14 Help 17/10/2007 18:12 Microsoft 18/11/2007 01:25 Shareaza 23/10/2007 19:08 6 144 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 07/11/2007 14:23 22 760 GDIPFONTCACHEV1.DAT 17/10/2007 18:25 8 030 328 IconCache.db 3 fichier(s) 8 059 232 octets 7 Rép(s) 3 948 027 904 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\All Users\Application Data 17/10/2007 19:53 . 17/10/2007 19:53 .. 17/10/2007 18:34 ACD Systems 08/11/2007 20:08 Adobe 22/01/2008 22:02 Autodata Limited 08/11/2007 19:15 Google 23/01/2008 19:02 Kaspersky Lab 02/01/2008 23:37 Messenger Plus! 17/10/2007 19:53 Microsoft 18/01/2008 22:29 Spybot - Search & Destroy 02/01/2008 21:53 wave boob delete phone 17/10/2007 19:56 62 desktop.ini 1 fichier(s) 62 octets 11 Rép(s) 3 948 027 904 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\Default User\Application Data 17/10/2007 19:54 . 17/10/2007 19:54 .. 17/10/2007 19:54 Microsoft 17/10/2007 19:56 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 3 948 027 904 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 17/10/2007 19:56 . 17/10/2007 19:56 .. 17/10/2007 18:08 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 027 904 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\LocalService\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 17/10/2007 18:12 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 023 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 17/10/2007 18:12 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 023 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\NetworkService\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 17/10/2007 18:12 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 023 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 17/10/2007 18:12 . 17/10/2007 18:12 .. 17/10/2007 18:12 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 023 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 17/10/2007 18:10 . 17/10/2007 18:10 .. 17/10/2007 18:10 Microsoft 17/10/2007 18:10 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 3 948 023 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 17/10/2007 18:10 . 17/10/2007 18:10 .. 17/10/2007 18:10 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 3 948 023 808 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\A0BE23B39185A28B.job ¥Ì,±/xûC¿&ºA™*F î < s "€!Ø : c : \ d o c u m e ~ 1 \ a d m i n i ~ 1 \ a p p l i c ~ 1 \ e r r o r m ~ 1 \ S e c t P l a n I d o l . e x e A d m i n i s t r a t e u r 0 Ñ < ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est FC5F-9F8A Répertoire de C:\Program Files 23/01/2008 19:39 . 23/01/2008 19:39 .. 17/10/2007 19:00 AC3Filter 17/10/2007 18:34 ACD Systems 10/01/2008 19:32 Adobe 17/10/2007 19:07 Alwil Software 23/01/2008 18:51 AusLogics Disk Defrag 18/01/2008 23:21 Circle Developement 17/10/2007 18:03 ComPlus Applications 02/12/2007 15:42 Digital-Jesters 17/10/2007 18:30 directx 17/10/2007 19:00 DivX 17/10/2007 19:00 DivX_311alpha 04/11/2007 19:43 DivXCodec 02/12/2007 15:44 DK 19/01/2008 13:51 EPSON 14/01/2008 19:58 errormpeg 22/01/2008 21:54 Fichiers communs 24/10/2007 18:55 GameShadow 18/01/2008 22:56 Google 22/12/2007 14:25 InterActive Vision 17/10/2007 18:06 Internet Explorer 23/01/2008 19:39 Kaspersky Lab 11/11/2007 17:46 K-Lite Codec Pack 03/01/2008 14:23 Lavasoft 11/11/2007 10:53 Livre Album Fuji Photo 02/01/2008 21:52 Messenger Plus! Live 17/10/2007 18:48 Microsoft Office 17/10/2007 18:48 Microsoft Visual Studio 17/10/2007 18:05 Movie Maker 17/10/2007 18:02 MSN Gaming Zone 02/01/2008 21:52 MSN Messenger 23/01/2008 19:48 Navilog1 17/10/2007 18:05 NetMeeting 22/12/2007 13:57 NovaLogic 17/10/2007 18:05 Outlook Express 18/01/2008 23:08 Power Defrag 17/10/2007 18:06 Services en ligne 18/11/2007 01:33 Shareaza 03/01/2008 15:15 Spyware Doctor 22/12/2007 13:55 Ubisoft 23/12/2007 10:44 ValuSoft 22/11/2007 21:33 VideoLAN 02/01/2008 21:52 Windows Live 17/10/2007 18:08 Windows Media Player 17/10/2007 18:02 Windows NT 03/12/2007 20:49 WinRAR 17/10/2007 18:38 XviD 19/01/2008 15:18 Yahoo! 29/12/2007 18:36 Your Company Name 0 fichier(s) 0 octets 50 Rép(s) 3 948 019 712 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow host-domain-lookup.com REG_SZ www.host-domain-lookup.com REG_SZ mysearchnow.com REG_SZ www.mysearchnow.com REG_SZ searchweb2.com REG_SZ www.searchweb2.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ****************************************** ## Registre * [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Delete Phone Bird Five REG_SZ C:\Documents and Settings\All Users\Application Data\wave boob delete phone\jump web.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] globalwarn REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\ERRORM~1\balm else.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

papyber · Answer

/ Ouvre le dossier lopxpMH2, double-clique sur le fichier "OuvreScript.bat" : le fichier lop.bfu s'ouvre alors. Colle dans ce fichier tout le contenu de la citation suivante :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Delete Phone Bird Five
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|globalwarn
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|host-domain-lookup.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.host-domain-lookup.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|searchweb2.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|mysearchnow.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.mysearchnow.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.searchweb2.com
RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.searchweb2.com

FolderDelete %ALLUSERSAPPDATA%\wave boob delete phone
FolderDelete %APPDATA%\errormpeg 

FolderDelete %PROGRAMFILES%\errormpeg
FolderDelete %PROGRAMFILES%\#

FileDelete %WINDIR%\Tasks\A0BE23B39185A28B.job

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin

Ferme ensuite le fichier lop.bfu.

/ Toujours dans le dossier lopxpMH2, double-clique sur le raccourci "BFU.zip", le téléchargement du programme est proposé, accepte puis décompresse-le.

*** Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici 
Comment aller en Mode sans échec lettre C 
https://forum.pcastuces.com/sujet.asp?f=25&s=3902 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur ***

/ Démarre le "Brute Force Uninstaller" en double-cliquant sur le fichier BFU.exe BFU. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et indique-lui le chemin du fichier lop.bfu qui se trouve dans ton dossier lopxpMH2, sur ton bureau
Ceci étant fait, clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaisse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

redémarre normalement et poste un raport lopxmpmh et un rapport hijack this

Infecte au secour!!!

16 réponses

Discussions similaires

Newsletters