[Trojan] Instant Access EGDACCESS_1059 1058

Question

Bonjour à tous le mondeC'est ma première connexion en tant que membre sur votre site. Mon pb : Internet Explorer me deconnecte au bout de quelques minutes juste après l’apparition d’une popup porno.Après avoir essayé de comprendre l’origine du pb et avoir fouillé un peu sur internet, je suppose que je suis parasité par un trojan comme INSTANT ACCESS, EGDACCESS_1058.dll et EGDACCESS_1059.dll.  J'ai tenté plusieurs manips récupérer sur le net pour eradiquer ce trojan mais impossible.Voici ce que j’ai commencé à faire : - J’ai récupéré HijackThis.- J’ai démarré mon PC en mode sans échec- Je ne sais pas désactiver la restauration système (A priori recommandé), donc c'est pas fait.- J’ai rendu visible les fichiers cachés et systèmes- J’ai désactivé le service « Affichage des messages »- J’ai lancé Ad-aware : 6 objets trouvés dont 2 dans le registre. Je les ai effacés.- J’ai lancé Spybot : Rien trouvé.- J’ai effacé tous ce qu’il y avait dans « Tempory Internet Files »- J’ai exécuté HijackThis dont voici la log ci–après.Je suppose, par comparaison avec les pbs des autres, que les lignes à supprimer sont les suivantes O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cabO16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cabO16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cabSVP, pouvez vous me donnez votre avis, ce que je dois faire et comment je dois les supprimer ?Est ce qu’il y a d’autres choses importantes à faire pour supprimer définitivement ce virus ?Merci d’avanceA+Logfile of HijackThis v1.99.1Scan saved at 21:06:42, on 07/06/2005Platform: Windows 2000 SP3 (WinNT 5.00.2195)MSIE: Internet Explorer v5.00 (5.00.2920.0000)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXEO4 - HKLM\..\Run: [WheelMouse] 4dmain.exeO4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exeO4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:AO4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -startO4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXEO4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -rO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cabO16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cabO16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cabO23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe

M.Lavaux · Answer

Bonjour Razmoket34. (Il y a beaucoup de gens du 34 par ici...)Je lis que vous avez fait beaucoup de travail préalable et je vous en félicite.Je vous donne d'abord un lien vers la documentation de Hijack : http://www.zebulon.fr/articles/HijackThis.php ---Je crois que vous n'avez pas d'anti-virus sur votre ordinateur (vous faites de scan en ligne). Je pense qu'il est important d'en installer un. Personellement, je travailler avec Avast! (gratuit).Avast! sur http://www.avast.com/eng/down_home.htmlJe vous propose de l'installer et de le lancer lors d'une session "mode sans échec" (appuyez sur f8 de façon répétée au démarrage. Si f8 ne marche pas essayez f5 ou f6 selon les versions de windows)---Je vous propose aussi de télécharger cleanup qui nettoiera de nombreux fichiers temporaires d'internet y compris à des endroits "tordus" : CleanUP312 sur http://cleanup.stevengould.org---Voilà pour l'instant.Bon travail

Razmoket34 · Answer

Bonjour Merci pour votre réponse et pour la doc explicative de HiJackThis, ce n'est pas de trop.J'ai bien un antivirus : MacAfee / VirusScan : Je vais regarder ses paramètres de lancements parce qu'au vu de la log HiJackThis, il ne doit pas être lancé au démarrage.Je vais refaire un essai dans cette config.J'ai récupéré CleanUp 312 : Je vais egalement l'exécuter ce soir. Ce que je compte faire :- Activer VirusScan au démarrage- PC en mode sans echec + désactivation restauration système (j'ai trouvé comment faire) - Rendre visible fichiers cachés et systèmes + désactiver service "Affichage des messages"- Lancer Adware- Lancer Spybot- Lancer CleanUp- Lancer HiJackThisJe vous renvoie la log.A+

Razmoket34 · Answer

BonjourVoici ce que je viens de faire :-	Installation CleanUp 312-	Démarrage PC en mode sans échec (toujours impossible de désactiver le restauration système)-	J&#8217;ai rendu visible fichiers cachés et systèmes-	J&#8217;ai désactivé le service « Affichage des messages »-	J&#8217;ai Lancé Ad-aware : 0 objet trouvé-	J&#8217;ai lancé Spybot : 0 objet trouvé-	j&#8217;ai lancé CleanUp : Ménage fait-	J&#8217;ai exécuté HijackThis dont voici la log ci&#8211;après.Logfile of HijackThis v1.99.1Scan saved at 21:51:12, on 08/06/2005Platform: Windows 2000 SP3 (WinNT 5.00.2195)MSIE: Internet Explorer v5.00 (5.00.2920.0000)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\Explorer.EXEC:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXEO4 - HKLM\..\Run: [WheelMouse] 4dmain.exeO4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exeO4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:AO4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -startO4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXEO4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -rO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestartO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cabO16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cabO16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cabO23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exeJ&#8217;ai fixé les 3 lignes suivantes :O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cabO16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cabO16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cab Un peu naïvement, je pensais être débarrassé du problème.J&#8217;ai relancé Internet Explorer : Au bout de quelques minutes j&#8217;ai à nouveau eu une popup porno (différente de celle habituelle) qui s&#8217;est affichée.I.E. a planté sans message d&#8217;erreur contrairement aux autres fois ??? J&#8217;ai refait toute la manip du début.Je joins la log HijackThis ci-après : Aucune trace des 3 lignes fixées précédemment.Logfile of HijackThis v1.99.1Scan saved at 22:51:06, on 08/06/2005Platform: Windows 2000 SP3 (WinNT 5.00.2195)MSIE: Internet Explorer v5.00 (5.00.2920.0000)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\userinit.exeC:\WINNT\Explorer.EXEC:\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXEO4 - HKLM\..\Run: [WheelMouse] 4dmain.exeO4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exeO4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:AO4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -startO4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXEO4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -rO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestartO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exeO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exePourtant j&#8217;ai effectué une recherche sur C:/ via l&#8217;Explorateur de « instant access » et voici, entre autres, ce qu&#8217;il a trouvé :  EGDACCESS_1059.dll  sur  C:\WINNT\System32 J&#8217;espères avoir été assez clair, mais moi je ne comprend plus grand chose :Est ce vous pouvez diagnostiquer le dernière log HiJackThis ci-dessus et m&#8217;indiquer si il y a encore une mauvaise ligne ?Voyez vous autre chose à faire ?Faut-il que je réinstalle le système d&#8217;exploitation ?Merci pour vos réponses &#8230; Dernieres news : Je viens de me reprendre la popup porno habituelle, j'aile répertoire Instabnt Acess sous C:/ Prrogram files et a tot les coups les 3 lignes O16 si je ais un nouveau report Hijack.Bref rien n'a changé.Dans l'attente d'une aide.A+

Razmoket34 · Answer

Bonjour,Comme je continue de chercher en parallèle, j'alimente mes 2 précédents  messages :Par rapport à la liste HiJackThis présenté ci-dessous, ce que je compte faire après avoir poussé l'interprétaion de la log :Supprimer les lignes- O3 : Le CLSID  {8E718888-423F-11D2-876E-00A0C9082467} n'est pas connu.- O4 [SO5 Integrator Pass Two] : Je n'ai plus Star Office- O4 - HKCU\..\Run: [internat.exe] internat.exe : complètement lié au TrojanPS : J'ai déjà fixé 3 lignes O16 (voir messages précédents) qui à mon sens avaient un rapport avec le trojan.SVP :Pouvez vous me donner votre avis sur ce que je compte faire ?Et si possible, une marche à suivre, style effacement de données particulière dans le registre, ...), si il en existe une bien sûr ...En espérant embrouiller personne sur mes manips ... merci d'avanceA+

M.Lavaux · Answer

Je dois encore vous féliciter pour votre méthode d'analyse.Je vais répondre à vos questions.---Pour la 1, si ce sont des .dll ou .exe ajoutés par le virus, il faut les détruire. Si ce sont de programmes infectés, il vaut mieux les réparer (c'est l'anti-virus qui le fait) lorsque c'est possible.Parfois, certains virus rajoutent des programmes ou librairies (dll), ceux-ci ne sont pas vérolés (a proprement parlé) donc ne sont pas supprimés par l'anti-virus. Certains sont connus et les anti-troyans les suppriment, mais parfois les noms sont aléatoires (par exemple), et il faut alors les supprimer "à la main". Parfois encore, ce sont des fichiers système qui sont rajoutés, il faut alors les supprimes à la main et en mode sans échec voire en mode dos. ---Pour la 2, cela dépend. Si le ménage suffit, alors il n'est pas besoin de faire autre chose. Sinon, il faut envisager encore d'autres soins.Si je vous proposait de sécuriser l'ordinateur s'était pour empêcher le virus d'agir. En effet, si c'est un virus qui fait appel a des exécutables sur internet, un firewall leur interdira d'intervenir donc vous pourrez faire le ménage sans être embêté ou empêché par le virus.---Vous pouvez essayer les utilitaires suivants : Stinger sur http://vil.nai.com/vil/stinger/(anti-troyan - serait peut être utile dans votre cas)spywareblaster sur http://www.javacoolsoftware.com/sbdownload.html(anti-spyware - ce n'est pas un outil de soin mais de protection)Windows Worms Doors Cleaner sur http://www.firewallleaktester.com/tools/wwdc.exe (ferme certains ports "sensibles")SafeXP sur http://theorica.net(ouvre toutes les options de protection internet en une seule fenêtre)AboutBuster sur http://www.malwarebytes.biz/index.php?page=downloads(nettoie les .dll créés par le virus about:buster - je ne pense pas que ce soit votre problème mais c'est peut être un dérivé et ça peut faire du ménage "salvateur" - c'est arrivé à un de mes collègues)CWShredder sur http://www.intermute.com/products/cwshredder.html(spécifique à coolwebsearch et ces dérivés - idem que pour aboutbuster par rapport à votre problème)---A vous de voir. Personellement, je vous conseillerai fortement les 4 premiers. Mais cela ne vous coutera rien d'essayer les six.Bon travail.

jean38 · Answer

salut,je n'aurais pas supprimé internat mais bon...par contre pourrais tu tester le fichier suivantc:\winnt\system32\whtkrlfx.exe -start en te rendant surhttp://virusscan.jotti.orga+jean

M.Lavaux · Answer

Pour jean : par rapport à internat, cf un peu plus haut - razmoket à vérifié avant de le supprimer.---Pour razmoket : Vous n'avez pas de firewall a proprement parler. Spywareblaster est un anti-spyware et WWD est un utilitaire qui ferme certains ports.Vous pouvez télécharger le firewall suivant : ZoneAlarm sur http://fr.zonelabs.com/download/znalm.htmlPrenez en la version gratuit (pas la version pro).Au début vous serez amené à faire plusieurs configurations pour autoriser certains logiciels à aller sur internet (beaucoup de logiciels en général donc c'est un peu perturbant lors des premières utilisations). Ensuite cela va se stabiliser et vous ne verez même plus qu'il tourne en tâche de fond. ---Pour me sortir des virus particulièrement pénibles, j'utilise le bloqueur d'évènements de l'antivirus. Je ne sais pas si virusscan en a un (mais je pense que oui). C'est généralemnt dans les options de la protection résidente.Je bloque en particulier l'ouverture et l'écriture. Ainsi, lors du déboggage, c'est un peu plus long que d'habitude parce qu'il faut dire à chaque action si on est d'accord ou pas. Mais cela permet aussi de voir ce qui se lance sans qu'on le demande.En particulier, vous devriez pouvoir identifier quel exécutable réinstalle internat.exe par exemple. Par suite, vous supprimerez ce dernier (sans doute faudra-t-il le faire en mode sans échec voire en mode dos).---P.S. : Si vous ne vous en sortez pas avec virusscan (pour le bloqueur d'évènement), je vous donnerai un lien pour l'anti-virus avast!. Vous désactiverez provisoirement virusscan et installerez avast! pour débogger, puis réinstallerez virusscan (à moins que vous ne préfériez avast!...)

Razmoket34 · Answer

BonjourLes news :J'ai récupéréAVAST que je pense conserver.J'ai récupéré ZONEALARM que je pense aussi conserver.Ma panoplie sécurité est maintenant la suivante :- Antivirus : AVAST - Outils de nettoyage : Adware / Spybot / CleanUp / Stinger - Outils de protection : Windows Worms Doors / SpywareBlaster - FireWall : ZoneAlarme Configuration de ma machine : Windows2000 SP4 .Internet explorer : 5.5Outlouk express : 5.5Bilan des courses: Outlook H.S.Les popup "porno" arrivent toujours et Instant Access et sa DLL EGDACCESS_1059.dll s'installent dans la foulée.ZoneAlarme stoppent un nombre incroyable d'accès (plus de 400 en 2h de connexion pour une connexion à 44 Kb/s).Soit ZoneAlarme ne bloque pas Instant Access, soit il reste un élément que je n'ai pas trouvé.Je compte faire une ré-installation complète de ma machine.Je suppose et j'espères que ça devrait résoudre le problème.En tout cas je vous remercie beaucoup pour vos conseils et les outils que vous m'avez indiqué.Dernière question : Connaissez vous un bon "outil anti popup" pour compléter ma panoplie ?A bientôt

balltrap34 · Answer

salutpour instant accesen mode sans échec tu clik sur demarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,InstantAccess et vous supprimez !HKEY_LOCAL_MACHINE    Objet              : software\microsoft\windows\currentversion\uninstall\instant access    Valeur             : UninstallStringHKEY_LOCAL_MACHINE    Objet              : software\microsoft\windows\currentversion\uninstall\instant access    Valeur             : DisplayNameHKEY_LOCAL_MACHINE    Objet              : software\microsoft\windows\currentversion\uninstall\instant access- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également .- Ensuite vous supprimez tous les raccourcis vers "instant access"- Vous effacer le contenu de "Tempory Internet Files"- Videz la "Corbeille"

M.Lavaux · Answer

Faites la manipulation de Balltrap.---Par rapport au bloqueur d'évènement avec avast!, faites un clic (gauche) sur l'icône-écho (à côté de l'horloge). Cela affiche l'état de la protection résidente.Cliquez sur "bouclier standard" puis le bouton "personnaliser"Cliquez sur l'onglet "bloqueur".Sélectionnez le blocage de "ouverture", de "renommer" et de "supprimer" (a priori c'est surtout l'ouverture qui va servir).Vous verez tout ce que windows lance sans vous le demander et vous devriez aussi pouvoir identifier des actions virales de création de fichiers (s'il y a lieu).Bonne fin de travail et j'espère que la manipulation de Balltrap va fonctionner.

M.Lavaux · Answer

Vous voilà à la fin de votre problème.Parfois (hélas), il faut effectivement ré-installer.Pour la route, je vous donne un dernier lien : http://www.macecraft.com/regsupreme/Vous pourrez y télécharger une version d'essai de regsupreme (ne prenez pas la version payante !! - il suffit de cliquer sur le nom du logiciel et non pas sur "buy now"). C'est un programme qui fera du ménage dans la base de registre (très utile surtout après une ré-installation).Bonne idée de partir sur gozilla. Mais attention, avec lui vous ne pouvez pas faire certains scan en ligne, ni certaines MAJ non plus.Par contre, il est beaucoup plus sécurisé.Il vous faut donc garder IE et Mozilla.Bonne continuation et au plaisir de travailler de nouveau avec vous... mais pour vous aider à dépanner quelqu'un (ou le contraire)la prochaine fois j'espère !!

balltrap34 · Answer

salutje trouve dommage de formater pour si peuxmanque de patience lol

jmp59 · Answer

Bonjour,J'arrive peut-être comme les carabiniers, mais pour Instant Access (et ss doute d'autres dialers), il suffit d'aller sur:http://network.nocreditcard.net/cleaner/DialpassUninstall.exeet de télécharger, puis d'éxécuter "DialpassUninstall.exe"Voir sur ce forum la discussion:  "Instant Access - Qu'est-ce que c'est ?"J'avais Instant Access installé, mais à vrai dire il ne me causait aucun ennui. Je l'ai désintallé simplement pr faire propre.Par contre le fichier EGDACCESS...  m'embête à chaque démarrage en me mettant un message disant qu'il ne trouve pas  je ne sais quoi, ce qui m'oblige à cliquer sur ce message pr le faire disparaître.

balltrap34 · Answer

saluttu fait dmarrer/executer tu tape msconfig clik sur onglet demarragetu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectiftu coche ne plus afficher ce message et okvoila

jmp59 · Answer

Salut, balltrapMerci pr le tuyau, ms entretemps j'avais trouvé le moyen de supprimer cet ennui avec Spybot. Et quand j'ai vérifié en suivant tes explications, j'ai constaté que la ligneInstat Access  rundll32.exeEGDACCESS_1057.dll.Instant access était effectivementdécochée.Mais quand j'exécute Spyware Doctor, il me reste 2 infections:Infection Name ---------------------------- Location ------------------------- Risk Instant Access C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf High Instant Access C:\WINDOWS\Downloaded Program Files
etslv32.inf --- HighCes 2 infections ne sont par ailleurs pas détectées par Spybot.Quand je recherche ces fichiers, ils n'apparaisseent pas,que ce soit par "Rechercher" ou en suivant le chemin. Avec DOS,  idem même en utilisant DIR + l'attribut h comme hiden (= caché).En cherchant sur Ccm, j'ai trouvé ceci:rundll32 - rundll32.exe  Le processus rundll32.exe (rundll32 signifiant Run a DLL as a 32-bit application) est un processus générique de Windows NT/2000/XP servant à charger les librairies dynamiques (DLLs) en mémoire afin de les rendre utilisables par d'autres programmes. Le processus rundll32 n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Il s'agit d'un processus système critique ne pouvant pas être arrêté.Or, je suis en Windows 98. Et je ne devrais pas avoir de fichier rundll32. J'en ai pourtant 2:C:\Windowsundll32.exe  etC:\Windows\Applogundll32.lgcet dans l'utilitaire msconfig démarrage j'ai une ligneLoadPowerProfil   Rundll32.exe powrprofdll.LoadCurrentPwrScheme.J'ai bien envie de virer les 2 fichiers rundll ds Windows, en les sauvegardant sur une disquette pr le cas où ...As-tu un avis sur la question ?

balltrap34 · Answer

télécharge ceci et utilise-lePocket Kill Box :       (ici)               http://www.florensac-chasse-trap.com/   section virus-Ouvre-le  copie colle ceciC:\WINDOWS\Downloaded Program Files\EGDACCESS.inf  clic sur la croix blanche  réponds "oui" fait de meme avec le deuxieme -Vide la corbeille.

jmp59 · Answer

Dsl, ms je ne vois pas de croix blanche !

balltrap34 · Answer

croix blanche dans rond rouge

jmp59 · Answer

J'ai beau chercher,Pas + de rond rouge que de croix blanche !C'est à quel endroit ds la page ?

balltrap34 · Answer

il faut bien lire vas sur ma page sect-ion virus logiciel de securiteet la telecharge la killbox

jmp59 · Answer

Je suis impardonnable. En voulant aller trop vite, je cherchais la X blanche et le rond rouge sur ta page "Logiciel de sécurité".
A partir du moment où j'ai ouvert la Killbox, tt s'est bien passé et les 2 fichiers incriminés ont bien disparu.(vérifié avec Spyware Doctor)
Avec mes remerciements et tttes mes excuses.

P.S. - J'ai qques remarques à faire sur ton site. Je pense que ce forum n'est pas le bon endroit pour en discuter. Peux-tu me communiquer ton adresse e-mail ? Tutrouveras la mienne en cliquant sur mon pseudo (en bleu) où je l'ai provisoirement autorisée, jusquà ce que tu m'ait envoyé la tienne.

balltrap34 · Answer

oki c est fait

[Trojan] Instant Access EGDACCESS_1059 1058 - Page 2

Discussions similaires

Newsletters