Infection de partout
Fermé
KaNyBaL
Messages postés
10
Date d'inscription
dimanche 21 août 2005
Statut
Membre
Dernière intervention
16 septembre 2005
-
21 août 2005 à 15:02
KaNyBaL Messages postés 10 Date d'inscription dimanche 21 août 2005 Statut Membre Dernière intervention 16 septembre 2005 - 22 août 2005 à 00:22
KaNyBaL Messages postés 10 Date d'inscription dimanche 21 août 2005 Statut Membre Dernière intervention 16 septembre 2005 - 22 août 2005 à 00:22
A voir également:
- Infection de partout
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus / Sécurité
- Url blacklist infection - Forum Virus / Sécurité
- Url phishing infection ✓ - Forum Windows 10
- Y a t'il des virus qu'avast ne detecte pas - Forum Virus / Sécurité
- Salut comme vous l'avez peut-être remarqué, je vous ai envoyé un e-mail depuis votre compte de messagerie. cela signifie que j'ai un accès complet à votre compte de messagerie. je t'observe depuis quelques mois maintenant. le fait est que vous avez été infecté par un cheval de troie via un site pour adultes que vous avez visité. si vous n'êtes pas familier avec cela, je vais vous expliquer. ✓ - Forum Consommation et internet
9 réponses
Bonjour,
Avant de commencer, oemji tu t en sers, c est toi qui l utilise volontairement? si oui ne coche pas ce qui se rapporte a lui si dessou(je te les mets en gras)
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) -
http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
---------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
c:\program files\180searchassistant
C:\Program Files\HbTools
C:\Program Files\SideFind
C:\Program Files\Oemji
C:\Program Files\ISTbar
C:\WINNT\spsrgn.exe
C:\Program Files\ISTsvc
C:\WINNT\barou.exe
C:\Program Files\Power Scan
C:\Program Files\Pfrmuu
C:\Program Files\ErrorGuard
C:\Program Files\WinFixer 2005
C:\Program Files\Media Gateway
"C:\Program Files\Internet Optimizer
----------------------------------------------------------------------------
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également.
- Ensuite vous supprimez tous les raccourcis vers "instant access"
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
Avant de commencer, oemji tu t en sers, c est toi qui l utilise volontairement? si oui ne coche pas ce qui se rapporte a lui si dessou(je te les mets en gras)
Méthode a suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:
1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html
Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf
3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) -
http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
---------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si present)
c:\program files\180searchassistant
C:\Program Files\HbTools
C:\Program Files\SideFind
C:\Program Files\Oemji
C:\Program Files\ISTbar
C:\WINNT\spsrgn.exe
C:\Program Files\ISTsvc
C:\WINNT\barou.exe
C:\Program Files\Power Scan
C:\Program Files\Pfrmuu
C:\Program Files\ErrorGuard
C:\Program Files\WinFixer 2005
C:\Program Files\Media Gateway
"C:\Program Files\Internet Optimizer
----------------------------------------------------------------------------
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également.
- Ensuite vous supprimez tous les raccourcis vers "instant access"
----------------------------------------------------------------------------
¤ Passe adaware et vire tous se qu il trouve
----------------------------------------------------------------------------
¤ Passe spybot et vire tous se qu il trouve
----------------------------------------------------------------------------
> Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack
Précise tes soucis si il en restes....
Tiens moi au courant
a+
KaNyBaL
Messages postés
10
Date d'inscription
dimanche 21 août 2005
Statut
Membre
Dernière intervention
16 septembre 2005
21 août 2005 à 23:54
21 août 2005 à 23:54
Merci ! Merci beaucoup Regis59 !
J'ai (partiellement) fait ce que tu m'as dis sur le pc en question, car manque de temps ...
ET CA MARCHE !!!
Je recommencerais demain à cocher les quelques lignes non accomplies suivant ta methode, et je te copierai le log Hijackthis si ça ne te derange pas.
Par contre, du PC où je suis (le mien), j'ai un autre petit probleme.
Hier soir en cliquant sur une banniere, je me suis retrouvé sur un site, ensuite redirigé sur un site de phreakers. Là rien de grave (c'est leur droit d'emmerder France Telecom ..), jusqu'à c'qu'une alerte de Norton me signale un virus, que je n'ai pas eu le temps de suppr.
Le PC a redémarré à mon insu, certainement trojanté.
Rien de suspect ne s'est manifesté jusqu'à ce que je veuille imprimer un document .txt (ton rapport sur le hijackthis en fait).
Et là, lors de l'impression, c'est le drame :
Nouvelle alerte, me signalant que le fichier C:\windows\TEMP\~EMF1160.TMP est infecté par Bloodhound.Exploit.6
A la vue du mot Exploit j'ai commencé à m'inquiéter.
Aussi est apparu un nouveau processus dans mon gestionnaire des taches : Hpzstatx.
J'ai vu sur un forum qu'il se situait dans le dossier System.
J'ai donc killé le processus, puis supp Hpzstatx.exe dans C:\windows\system. Mais cela ne resoud pas mon probleme de Bloodhount.Exploit.6
(je m'en vais de ce pas faire un scan en ligne sur secuser et ravantivirus)
Si tu en sais un peu + que moi sur ce virus, pourrais-tu m'aider stp ?
Merci encore de m'avoir guidé pour la desinfection du pc "parental" :)
J'ai (partiellement) fait ce que tu m'as dis sur le pc en question, car manque de temps ...
ET CA MARCHE !!!
Je recommencerais demain à cocher les quelques lignes non accomplies suivant ta methode, et je te copierai le log Hijackthis si ça ne te derange pas.
Par contre, du PC où je suis (le mien), j'ai un autre petit probleme.
Hier soir en cliquant sur une banniere, je me suis retrouvé sur un site, ensuite redirigé sur un site de phreakers. Là rien de grave (c'est leur droit d'emmerder France Telecom ..), jusqu'à c'qu'une alerte de Norton me signale un virus, que je n'ai pas eu le temps de suppr.
Le PC a redémarré à mon insu, certainement trojanté.
Rien de suspect ne s'est manifesté jusqu'à ce que je veuille imprimer un document .txt (ton rapport sur le hijackthis en fait).
Et là, lors de l'impression, c'est le drame :
Nouvelle alerte, me signalant que le fichier C:\windows\TEMP\~EMF1160.TMP est infecté par Bloodhound.Exploit.6
A la vue du mot Exploit j'ai commencé à m'inquiéter.
Aussi est apparu un nouveau processus dans mon gestionnaire des taches : Hpzstatx.
J'ai vu sur un forum qu'il se situait dans le dossier System.
J'ai donc killé le processus, puis supp Hpzstatx.exe dans C:\windows\system. Mais cela ne resoud pas mon probleme de Bloodhount.Exploit.6
(je m'en vais de ce pas faire un scan en ligne sur secuser et ravantivirus)
Si tu en sais un peu + que moi sur ce virus, pourrais-tu m'aider stp ?
Merci encore de m'avoir guidé pour la desinfection du pc "parental" :)
KaNyBaL
Messages postés
10
Date d'inscription
dimanche 21 août 2005
Statut
Membre
Dernière intervention
16 septembre 2005
21 août 2005 à 23:56
21 août 2005 à 23:56
PS : (oemji ma mere ne savait meme pas où elle l'a dégoté, je l'ai donc viré via Hijackthis puis des repertoires appropriés dans le lecteur C)
re,
pour le log j ai analyser pas de soucis, continue et remet s en un apres
pour l autre utilise clean up (tu as le lien en 3/ au dessu) puis met un hijack this aussi
tu vois?
a+
pour le log j ai analyser pas de soucis, continue et remet s en un apres
pour l autre utilise clean up (tu as le lien en 3/ au dessu) puis met un hijack this aussi
tu vois?
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
21 août 2005 à 23:59
21 août 2005 à 23:59
attention regis explique bien quand tu dit de suppr dans le registre que c est pas la clef a suppr mais la valeur
KaNyBaL
Messages postés
10
Date d'inscription
dimanche 21 août 2005
Statut
Membre
Dernière intervention
16 septembre 2005
22 août 2005 à 00:03
22 août 2005 à 00:03
Euh là, j'ai peut etre fait une betise ...
Mais je n'ai suppr que les dossiers portant le nom de ces trojs/spys (OemjiSearchPlus, HbTools, etc ..)
Je vais poster le Hijackthis de MON pc dans un autre sujet où j'expliquerai mon probleme avec le virus Bloodhound.Exploit.6
Histoire de ne pas mélanger le pbm des 2 ordis et d'avoir (peut-etre) l'explication d'une personne connaissant ce virii.
Mais je n'ai suppr que les dossiers portant le nom de ces trojs/spys (OemjiSearchPlus, HbTools, etc ..)
Je vais poster le Hijackthis de MON pc dans un autre sujet où j'expliquerai mon probleme avec le virus Bloodhound.Exploit.6
Histoire de ne pas mélanger le pbm des 2 ordis et d'avoir (peut-etre) l'explication d'une personne connaissant ce virii.
C est cette partie ci que balltrap fait reference
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
En effet ne supprime pas la clé entiere mais uniquement la valeur ! (je pense que t etais pas neuneu pour comprendre ca lol)
En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"
- Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
En effet ne supprime pas la clé entiere mais uniquement la valeur ! (je pense que t etais pas neuneu pour comprendre ca lol)
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
22 août 2005 à 00:20
22 août 2005 à 00:20
il faut virer pour celle ci a partir de la instant access
KaNyBaL
Messages postés
10
Date d'inscription
dimanche 21 août 2005
Statut
Membre
Dernière intervention
16 septembre 2005
22 août 2005 à 00:22
22 août 2005 à 00:22
Euh si :s
Je ne connais l'existence de l'éditeur de registre que depuis hier, et je n'ai donc pas tout bien assimilé.. enfin, autant dire directement que j'ai supprimé les clés entieres ..
Mais ça n'a pas l'air d'avoir causé de défaillance, heureusement.
Je ne connais l'existence de l'éditeur de registre que depuis hier, et je n'ai donc pas tout bien assimilé.. enfin, autant dire directement que j'ai supprimé les clés entieres ..
Mais ça n'a pas l'air d'avoir causé de défaillance, heureusement.