infecté par Newdotnet Fermé

Question

Bonjour, après installation de edonkey, spybot search and destroy a détecté des trojans : accoona et newdotnet. j'ai suivi les préconisations de spybot et ai corrigé le problème. mais depuis, bien que j'ai accès à internet, je n'ai plus accès à mes favoris. et des pages publicitaires arrivent sans arrêt. dans Ajout/suppression, Newdotnet n'y était pas, j'ai téléchargé sur disque uninstall6_38, l'ai lancé, supprimé le programme qui était dans program files... lancé the cleaner qui a trouvé encore ceciFilename                                           Trojan                         Action--------                                           ------                         ------c:ecycler\s-1-5-21-477779749-407593872-2178774538-1006\dc66
ewdotnet6_38.dll Newdotnet                      c:ecycler\s-1-5-21-477779749-407593872-2178774538-1007\desktop.ini Newdotnet                      c:ecycler\s-1-5-21-477779749-407593872-2178774538-1008\desktop.ini Newdotnet                      c:ecycler\s-1-5-21-477779749-407593872-2178774538-1009\desktop.ini Newdotnet                      c:ecycler\s-1-5-21-477779749-407593872-2178774538-500\desktop.ini Newdotnet                      je ne sais plus quoi faire.Merci de votre aide.

cartésienne · Answer

j'ai oublié de préciser que spybot a encore das sa sauvegarde les problèmes qu'il a soi-disant corrigés. merci de me dire ce que je dois faire.

jean38 · Answer

vide ta poubelle

Utilisateur anonyme · Answer

Salut cartesienne

Lol, la poubelle...

Vérifie aussi que Newdotnet n'est pas ignoré de la détection par spybot :

lancer Spybot S&D:
- Choisir Mode avançé ( à côté de Fichiers tout en haut clic sur "Mode" )
Un nouveau menu vertical va apparaitre sur la gauche, clic sur "Réglages"
Puis clic sur "Ignorer produits"
Clic sur l'onglet "all products"
Vérifie que la case devant Newdotnet ne soit pas cochée.
Si elle était cochée, décoche la et relance spybot

a+

Utilisateur anonyme · Answer

Salut---------------------------------------------------------------------------- ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer !---------------------------------------------------------------------------- Rends toi iciDemarer < poste de travail < c :Le dossier recycler devrait etre en jaune clairOuvre le et dis moi si tu as ceci:s-1-5-21-477779749-407593872-2178774538-500\desktop.inis-1-5-21-477779749-407593872-2178774538-1006\dc66
ewdotnet6_38.dlla+

Utilisateur anonyme · Answer

Je ne pense pas qu'il faille restaurer la sauvegarde de spybot, par contre tu peux essayer de supprimer toi même les fichiers détectésPour pouvoir aller dans le dossier C:\Recycler il faut d'abord que tu rendes visibles les fichiers cachés et systeme (les deux)panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés "Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système"clic sur [Appliquer] puis sur [ok] pour valider/!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.Ensuite supprime les fichiers en gras en suivant leur chemin:c:ecycler\s-1-5-21-477779749-407593872-2178774538-1006\dc66
ewdotnet6_38.dll  c:ecycler\s-1-5-21-477779749-407593872-2178774538-1007\desktop.ini  c:ecycler\s-1-5-21-477779749-407593872-2178774538-1008\desktop.ini  c:ecycler\s-1-5-21-477779749-407593872-2178774538-1009\desktop.ini c:ecycler\s-1-5-21-477779749-407593872-2178774538-500\desktop.ini Une fois fait, repasse the cleaner et spybot.a+

Utilisateur anonyme · Answer

lol, grillé !

cartésienne · Answer

un scan est en train de se faire. J'ai réussi à tout supprimer de recycler sauf
:\recycler\s-1-5-21-477779749-407593872-2178774538-1007
un message "impossible de supprimer " " car ressource utilisée par une autre personne ou un autre programme. fermer les programmes susceptibles d'utiliser le fichier.."

Utilisateur anonyme · Answer

Essaye de le supprimer en mode sans echec ou avec l'option "effaceur de sécurité" de spybotoutils>effaceur de securité>clic droit dans la fenetre de droite>ajouter un fichier à la listea++

Utilisateur anonyme · Answer

lolsinon y a plus simple avec chaos shreddera++

Utilisateur anonyme · Answer

lol, pourquoi faire simple quand on peut faire compliqué...(J'y pensais plus à chaos)

cartésienne · Answer

merci moe pour ton aide. J'essaierai plus tard avec chaos shredder.je te tiens au courant.a +

Utilisateur anonyme · Answer

ok, tiens nous au courant.

Pour chaos shrededer tu pourras le trouver ici:
http://www.safechaos.com/download/cs-fr.exe
et supprime le fichier infectés comme ceci:
http://pageperso.aol.fr/balltrap34/demochaos.htm

a+

cartésienne · Answer

salut, je suis de retour, après avoir testé chaos shredder. j'ai éliminé les deux fameux fichiers qui restaient à déloger dansc: recycler.
mais ca ne change rien à mon problème : j'accède à ma page internet et lorsque je tape sur favoris : "iexplorer a rencontré un problème et doit fermer..."

quelqu'un a t'il une autre piste ? merci par avance.

cartésienne · Answer

re-bonsoir à tous,apparemment plus de trace de newdotnet. je pensais réinstaller ma connexion internet.qu'en pensez-vous ?

cartésienne · Answer

même si spybot S&D, the cleaner, chaos shredder... ont fait leur boulot, ce fichu trojan a dû modifier les clés de registre car sur la barre outils de IExplorer, impossible de cliquer sur favoris.
Y a t-il possibilité de réparer clé de registre à ce niveau là ?
Merci de votre aide.

balltrap34 · Answer

salut
tente une reparation de IE
http://www.technicland.com/powerie6.php3

et si tu as xp avec le sp2 fait ceci

clik sur demarrer/executer et tape cmd
la copie colle ceci
netsh winsock reset catalog.
et appuie sur entree
redemarre et dit nous ou cela en est

balltrap34 · Answer

a tu fait ceciclik sur demarrer/executer et tape cmd la copie colle ceci netsh winsock reset catalog. et appuie sur entree redemarre et dit nous ou cela en est

Utilisateur anonyme · Answer

Salut cartesienne

Est ce que tu as eu un problème avec des favoris parasites qui se sont installés tout seul ?
Si c'est de cela dont il s'agit, va dans: C:\Documents and Settings\Corinne\Favoris
et supprime les favoris inutiles.

Pour ton hijackthis:

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [Do a system scan only]
cocher la case au début des lignes suivantes:

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - hllp://11731.kit.carpediem.fr/NueCecile.exe
O16 - DPF: {C1C3CC42-F029-49A2-91C2-C043DFAE3C96} (Samson Class) - hllp://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Dalila.cab

valider en cliquant sur le bouton [Fix checked]

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

a++

cartésienne · Answer

bonsoir MOEj'ai fait ce que tu m'a dit.toujours aucun changement.j'ai lu qq part que l'on pouvait restaurer la base de registre.est-ce que ce serait une solution ? si oui, merci de me guider

Utilisateur anonyme · Answer

salut

Oui c'est possible via la restauration système, mais tu as fais un scan antivirus en ligne avant d'en arriver là ?

Essaye de scanner ton pc ici:
http://www.bitdefender.fr
ou là
http://webscanner.kaspersky.fr/

S'ils ne detectent aucuns virus alors regarde la procédure pour restaurer ton système à une date ou tout marchait ici:
http://www.libellules.ch/restauration_systeme.php
http://www.microsoft.com/france/windows/xp/home/utilisez/info/info.asp?mar=/france/windows/xp/pro/utilisez/info/xp_mille1001.html
http://assiste.free.fr/assiste.com.html?http://assiste.free.fr/p/comment/activer_desactiver_points_restauration.php

a+

cartésienne · Answer

comme j'avais fait les scan avec spybot, ... en ayant désactivé la restauration... je n'ai plus le moyen de revenir en arrière.et oui, j'avais fait un scan en ligne qui n'avait rien donné.

Utilisateur anonyme · Answer

Ouais, dur, durQuand tu ouvres internet explorer et que tu tapes CTRL+I tu as accès aux favoris ?

balltrap34 · Answer

il y a possibiliter de le faire via la console de recuperationmais je n ais pas la manip sous la main et comme il est tard je ne l aurais que demain soirmais il te faut le disque de xp

Utilisateur anonyme · Answer

salut balltrapbizarre IE qui plante dès qu'on clic sur les favoris ?J'ai vu un cas sur le net et pour la personne en question ca venait d'un spy, resolu avec spysweeper...a++

balltrap34 · Answer

oui c est bizzardil ne risque rien a tenter avec spysweeper

Utilisateur anonyme · Answer

faudrait qu'elle fasse plusieurs scan av, histoire d'être sure.Bonne fin de soirée, je coupe pour ce soir.a+++

cartésienne · Answer

bonsoir moe, bonsoir baltrap et les autres,je suis dégoutée : j'ai attendu près de 2 heures un scan en ligne avec bitfender qui a détecté 2 virus identifiés (je ne sais pas lesquels), 4 fichiers infectés dont 2 ont été supprimés et 2 autres pour lesquels la désinfection a échoué. Ils sont surc:\system volume information\_restore...2 h d'attente, il y avait plus que deux fichiers à scanner et tout d'un coup : IEXPLORE.EXE a rencontré un problème et doit fermer...donc je ne sais pas de quels virus il s'agit.que dois-je faire maintenant ?ensuite je reviens sur une question de baltrap : lorsque j'ouvre internet explorer et que je tape CTRL+I non seulement je n'ai pas accès aux favoris mais : IEXPLORE.EXE a rencontré un problème et doit fermer et bla bla et bla bla.ensuite, en plus du non accès aux favoris, j'ai des panneaux publicitaires du type adulte fried finder, ou www.partypoker.com qui s'affichentou encore une barre d'outils inconnue qui s'affice (open search web ?) avec des liens vers casino, mortgage, music, travelj'ai oublié, lorsque on scan en ligne (ou pas d'ailleurs) avec bitfender par exemple, dois-je le faire en mode sans échec.Bonsoir à tous, trop dégoutée pour ce soir, vais me coucher.merci de votre aide.

Utilisateur anonyme · Answer

salutEn attendant nos 2 expertsHijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.+Télécharge lopxp ici: http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)2) dezippe le (clic droit dessus > extraire tout) et lance lopxp.bat le bloc note va s'ouvrir, copie et colle le contenu iciA+

Utilisateur anonyme · Answer

salut+1 pour regis ;-)Fais la manip donnée par regis.a++

Utilisateur anonyme · Answer

Salut moe,C'était pour vous avancez un peu ;-)a+

Utilisateur anonyme · Answer

salut regisJ'ai zappé lop dans le hijack, lolBien vu ;-)a+

Utilisateur anonyme · Answer

Re,Il faut dire qu'il est moins voyant que d'habitude ;-)Bon appétit si c'est pas encore fait !A+

afideg · Answer

Salut à tous ,(cette intervention dans ce post pour en garder le contact ).Rappel:Ajouté par regis59 (24/01/2006 à 11:03 GMT+1)  En attendant nos 2 experts 1)Télécharge lopxp ici:  http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34) 2) dezippe le (clic droit dessus > extraire tout) et lance lopxp.bat le bloc note va s'ouvrir, copie et colle le contenu ici Ajouté par moe31 (24/01/2006 à 12:31 GMT+1)  +1 pour regis ;-) Fais la manip donnée par regis. Et le 17/10/2005 dans la résolution de mon problème relatif à l'affichage de popups (dont  des panneaux publicitaires du type adulte fried finder, ou www.partypoker.com qui s'affichent ou encore une barre d'outils inconnue qui s'affice (open search web avec des liens vers casino, mortgage, music, travel ?)  Jean38 m'avait fait effacer C:\Documents and Settings\All Users\Application Data\dart free active vc  détecté grâce à ce lopxp conseillé par Régis.Désolé ,mais ce post m'interpelle.

afideg · Answer

S'il vous plait , une question à Moe31 : «Pourquoi dans ce cas ,relativement à newdotnet, Moe31 ne procède-t-il pas de la méthode utilisée ( telecharge lspfix ) sur un autre post ,comme détaillé ci-après : < 10 > - plus de connection internet explorer Ajouté par moe31 (23/01/2006 à 00:05 GMT+1) Pour la 010, telecharge lspfix ici: http://www.cexx.org/LSPFix.exe Puis lance LSPFIX et agrandis la fenêtre sinon on ne voit pas le bouton FINISH en bas. Coche 'I know what I'm doing' Dans la colonne de gauche (KEEP) selectionne newdotnet7_14.dll (et surtout rien d'autre, attention !) et tu le fais passer dans la colonne de droite (REMOVE). (tu peux le faire glisser avec la souris ou te servir des fleches dans la barre du milieu) Puis clic sur 'FINISH' » ? Qu'est-ce qui détermine ce choix d'une autre méthode ? MERCI. Un coucou à Régis.

Utilisateur anonyme · Answer

salut afidegEntre toi et moi, ne remet jamais en cause les manips de moe31; c est mon professeur , c est sur lui que j ai appris, je lui doit tout (ainsi qu a balltrap)C'etait a dire en passant.Quand il y a utilisation de lspfix c est quand il y a une infection nommé new.net alors que lorsque l on utilise lopxp c est pour une infection lop.comTu saisis la nuance et ca reponds a ta question?a+

Utilisateur anonyme · Answer

salut afidegNon non, je ne disais rien de mal lolJe pensais que tu ne connaissais pas moe31 et donc jte le presente ;-)Excuse moi si je t ai fais peur mais cela etait involontaire, désoléIci ce qui determine l utilisation de lopxp c est les traces laissé par l infection nommé lop.com, que l on peut distinguer ici:O2 - BHO: (no name) - {96E30143-B258-C9B3-040C-03A2C24BE4D7} - C:\DOCUME~1\Maurice\APPLIC~1\STARTB~1\FindLess.exeO4 - HKLM\..\Run: [Active Bend Vc License] C:\Documents and Settings\All Users\Application Data\Rect Math Active Bend\software logo.exe Pour en savoir plus, je te renvoie a ce lien ou j ai expliqué cette infection (lop.com)http://www.commentcamarche.net/faq/sujet-2500-%5BSpywares%5D-M%E9thodes-de-d%E9sinfectionJ'espere t'avoir repondu, sinon n hesites SURTOUT pas a nous demander, c est un plaisir de te renseigner.De nouveau, excuse moi si j ai pu paraitre agressif, ce n etait point le cas.a+

Utilisateur anonyme · Answer

Re,Pas la peine de dire SVP...inutile entre nous newdotnet7_14.dll contre lequel on utilise lspfix serait-il donc responsable d'affichage de popups (dont des panneaux publicitaires du type adulte fried finder, ou www.partypoker.com qui s'affichent ou encore une barre d'outils inconnue qui s'affice (open search web avec des liens vers casino, mortgage, music, travel ?)comme le signale cartésienne?Non.Ces pop ups etc sont exclusivement du a l infection lop.com.En fait lorsque tu telecharges msn+, il faut faire tres attention de ne pas accepter les sponsors, comme ceci:http://theroot.chez.tiscali.fr/imgs/tuto/msgplus.jpgSi tu les acceptes, tu herites  de lop.com (trojan swizzor). Suffit-il alors d'utiliser lspfix pour les éliminer du même coup ?Il faut utiliser lop xp lorsque tu as une infection lop.com (completement different de new.net).Cette infection new.net se reconnait dans hijack this par des 010, par exemple:O10 - Hijacked Internet access by New.NetO10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2	oolbar\cnmib.dll' missingO10 - Unknown file in Winsock LSP: c:\program files
ewton knows\vmain.dll Ou bien utilises-tu spécifiquement lopxp à cause de ces trucs "AduldFriendFinder ,etc" ?On utilise lopxp pour corriger lop.com. Le rapport va nous permettre d une part de nous donner:- Les chemins exacts des fichiers a supprimerD'autre part:-Eventuellement de nous donner 2 fichiers si present a supprimer lié a  infectionEt enfin, supprimer les taches planifiés:-Indispensable de les supprimer sinon l infection ne se supprime pas et reviens toujours.J'ai été clair ou pas? Pas trop été brouillon?a+

afideg · Answer

Quand il y a utilisation de lspfix c est quand il y a une infection nommé new.net , je demande alors pourquoi on ne l'utilise pas pour Newdotnet ici ?Est-ce parce qu'il n'y a rien en010?

Utilisateur anonyme · Answer

Car l'infection est presente icic:ecycler\s-1-5-21-477779749-407593872-2178774538-1006\dc66
ewdotnet6_38.dll Newdotnetc:ecycler\s-1-5-21-477779749-407593872-2178774538-1007\desktop.ini Newdotnetc:ecycler\s-1-5-21-477779749-407593872-2178774538-1008\desktop.ini Newdotnetc:ecycler\s-1-5-21-477779749-407593872-2178774538-1009\desktop.ini Newdotnetc:ecycler\s-1-5-21-477779749-407593872-2178774538-500\desktop.ini Newdotnet Recycler = la poubelleEt donc lors du scan avec hijack this, aucunes lignes 010 apparait, donc inutile de l utiliser.Tu vois?

Utilisateur anonyme · Answer

Mais de rien, pas de merci !C'est pas grave, si t as des questions, n hesites pasa+

Utilisateur anonyme · Answer

Hello tousMais bien sûr que merci :-)Explication magistrale mon chouchou²Faute d'avoir mieux à faire dans les deux secondes, je léchouille les trois habitués entre les soucils (Sluuuuurp)Je vous suis de loin, bonne continuation les tit'gars ;-)

Utilisateur anonyme · Answer

Coucou ma BansheeTrop content de te voir !!Merci pour les lechouilles, meme si je ne suis pas partageur lol (surtout des tiennes ;-))Bisoussssssssssss

jean38 · Answer

a ce chouchou.......

Utilisateur anonyme · Answer

Hello cartésienne,Tu n'as pas dû essayer, mais tu aurais remarqué qu'en sans échec tu n'as de toute façon pas accès à internet.Donc lorsqu'on te demande un scan online, c'est forcément en mode normal :-)Plus généralement, le mode sans échec permet de désactiver des programmes de l'ordinateur qui ne sont pas indispensables afin de pouvoir identifier la source d'un problème.L'apparence et le fonctionnement du mode sans échec sont différents, c'est normal :- Il est impossible de se connecter à Internet. - L'apparence de Windows est différente. - De nombreux programmes qui démarrent en même temps que Windows ne se lanceront pas.Lorsque tu as fini, tu peux réactiver ces programmes en redémarrant en mode normal. Pour générer un log HijackThis, tu dois être en mode normal surtout, car certaines lignes risquent de ne pas être visibles en sans échec. Cependant, lorsqu'une ligne à fixer s'avère récalcitrante, il est possible qu'on te demande de fixer par HijackThis en mode sans échec. Dans le même genre, si ton antivirus a du mal à éradiquer une infection, il peut souvent plus facilement le supprimer en mode sans échec.Pour les autres outils d'éradication, ce serait trop long à détailler, mais en général les intervenants du forum le précisent dans leurs instructions. Si ce n'est pas le cas, n'hésite pas à le leur demander, comme à Moe, Régis ou Balltrap :-)Pour Messenger+, pense à faire ce que te demande Balltrap en post 54, fais comme si tu allais désinstaller totalement le prog, jusqu'à ce qu'il te soit demandé d'uniquement désinstaller le sponsor. Comme çà tu ne seras pas obligée de faire une réinstall.Pour eDonkey (à moins d'être certains que vous ne faites QUE des DL sûrs...), tu peux le virer, mais faudrait préciser à ton fils de ne pas le réinstaller, et j'ai cru comprendre sur le forum que c'est LA grosse difficulté des parents pour que le logiciel ne revienne pas lolJe gicle, sinon je vais encore me faire happer par les cogitations du forum lolBonne continuation à tous ;-)

cartésienne · Answer

merci LiliBanshee pour tes explications, c'est + clair maintenant.

cartésienne · Answer

re bonjour à tous, voici un rapport HijackThis de ce jour comme me l'a demandé régis Ad-aware 6 Personal Adobe Reader 6.0 - Français AntiVir/XP Archiveur WinRAR ArcSoft ShowBiz 2 CDBurnerXP Pro 3 Complément Microsoft Word pour Microsoft Works Suite Connexion Facile à Internet Correctif Lecteur Windows Media 9 [Voir KB885492 pour plus d'informations] Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations] Correctif Windows XP - KB821253 Correctif Windows XP - KB821557 Correctif Windows XP - KB823182 Correctif Windows XP - KB823387 Correctif Windows XP - KB823559 Correctif Windows XP - KB824105 Correctif Windows XP - KB824146 Correctif Windows XP - KB824920 Correctif Windows XP - KB825119 Correctif Windows XP - KB828741 Correctif Windows XP - KB833987 Correctif Windows XP - KB835732 Correctif Windows XP - KB837001 Correctif Windows XP - KB839645 Correctif Windows XP - KB840315 Correctif Windows XP - KB840374 Correctif Windows XP - KB840987 Correctif Windows XP - KB841356 Correctif Windows XP - KB841533 Correctif Windows XP - KB841873 Correctif Windows XP - KB842773 Correctif Windows XP - KB871250 Correctif Windows XP - KB873333 Correctif Windows XP - KB873339 Correctif Windows XP - KB873376 Correctif Windows XP - KB883939 Correctif Windows XP - KB885250 Correctif Windows XP - KB885626 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB888113 Correctif Windows XP - KB888302 Correctif Windows XP - KB890175 Correctif Windows XP - KB890859 Correctif Windows XP - KB890923 Correctif Windows XP - KB891781 Correctif Windows XP - KB892944 Correctif Windows XP - KB893066 Correctif Windows XP - KB893086 Correctif Windows XP - KB896688 Correctif Windows XP - KB896727 Correctif Windows XP - KB897715 Correctif Windows XP - KB905915 Correctif Windows XP (SP2) Q327979 Correctif Windows XP (SP2) Q328310 Correctif Windows XP (SP2) Q329112 Correctif Windows XP (SP2) Q329170 Correctif Windows XP (SP2) Q329441 Correctif Windows XP (SP2) Q329909 Correctif Windows XP (SP2) Q331953 Correctif Windows XP (SP2) Q810565 Correctif Windows XP (SP2) Q810577 Correctif Windows XP (SP2) Q810833 Correctif Windows XP (SP2) Q811009 Correctif Windows XP (SP2) Q811632 Correctif Windows XP (SP2) Q811789 Correctif Windows XP (SP2) Q814033 Correctif Windows XP (SP2) Q814995 Correctif Windows XP (SP2) Q815021 Correctif Windows XP (SP2) Q815485 Correctif Windows XP (SP2) Q817287 Correctif Windows XP (SP2) Q817606 Creative Driver Creative MediaSource D-Link VGA Webcam eDonkey2000 Encyclopédie Microsoft Encarta 2004 Extension Système de Microsoft Money Free - Kit de connexion Google Earth Google Toolbar for Internet Explorer Hauppauge WinTV-PVR PCI II Drivers HijackThis 1.99.1 HP Deskjet Preloaded Printer Drivers HP Image Zone 3.5 HP Photo and Imaging 2.0 - Photosmart Cameras HP PSC & OfficeJet 3.5 HP Software Update HPIZ311 ImageMixer VCD2 IncrediMail Xe Intel(R) Extreme Graphics 2 Driver Internet Explorer Q903235 InterVideo WinDVD Player J2SE Runtime Environment 5.0 Update 5 KBD Les lois du jeu Macromedia Flash Player Macromedia Flash Player 8 MAGIX Photos sur CD & DVD 4.0 Memories Disc Creator 2.0 Messenger Plus! 3 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB886903) Microsoft AutoRoute v11.0 Microsoft Baseline Security Analyzer 2.0 Microsoft Data Access Components KB870669 Microsoft Money Microsoft Office PowerPoint Viewer 2003 Microsoft Picture It! Photo Premium 9 Microsoft Word 2002 Microsoft Works Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896422) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896424) Mise à jour de sécurité pour Windows XP (KB896426) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899588) Mise à jour de sécurité pour Windows XP (KB899589) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905495) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB912919) Mise à jour pour Windows XP (KB835409) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB910437) MSN Messenger 7.5 Multimedia Card Reader NVIDIA GART Driver om screen intro site ScreenSaver Otto overland Package du correctif Windows XP [voir Q329048 pour plus de détails] Package du correctif Windows XP [voir Q329115 pour plus de détails] Package du correctif Windows XP [voir q329256 pour plus de détails] Package du correctif Windows XP [voir Q329390 pour plus de détails] Package du correctif Windows XP [voir Q329834 pour plus de détails] Package du correctif Windows XP [voir Q331958 pour plus de détails] Photosmart 140,240,7200,7600,7700,7900 Series Picture Package PS2 Python 2.2 combined Win32 extensions Python 2.2.1 QuickTime RecordNow! Sélecteur d'installation de Microsoft Works 2004 Shockwave Sonic Update Manager Sony USB Driver Sound Blaster Audigy 2 Spybot - Search & Destroy 1.4 The Cleaner TribalWeb.net Unlocker 1.7.6 VideoLAN VLC media player 0.8.1 Visionneuse Journal Windows Microsoft Windows Installer 3.1 (KB893803) Windows Sasser Worm Removal Tool (KB841720) ZoneAlarm + le contenu de lopxp.bat Rapport fait à 14:21:39,14 le 25/01/2006 Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 03/05/2005 08:52 AdobeUM 03/05/2005 08:52 Adobe 23/04/2005 21:15 .. 23/04/2005 21:15 . 23/04/2005 12:47 Creative 28/10/2003 22:09 Symantec 27/10/2003 21:40 SampleView 27/10/2003 20:52 Sonic 27/10/2003 18:49 Sun 27/10/2003 17:31 62 desktop.ini 27/10/2003 17:31 Identities 27/10/2003 17:31 Microsoft 1 fichier(s) 62 octets 11 R‚p(s) 73890762752 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\All Users\Application Data 27/12/2005 23:38 Rect Math Active Bend 27/12/2005 23:38 Messenger Plus! 27/12/2005 11:45 Apple Computer 22/12/2005 23:12 Spybot - Search & Destroy 17/12/2005 23:34 element5 23/11/2005 16:53 MSN Search Toolbar 03/09/2005 10:09 Zylom 26/08/2005 19:53 Windows Genuine Advantage 25/05/2005 11:21 Otto 23/05/2005 19:55 HP 17/05/2005 12:30 MSN6 23/04/2005 21:15 . 23/04/2005 21:15 .. 28/10/2003 22:09 Symantec 27/10/2003 21:28 Motive 27/10/2003 21:02 Adobe 27/10/2003 19:43 Hewlett-Packard 27/10/2003 19:35 2728 hpzinstall.log 27/10/2003 17:34 SBSI 27/10/2003 17:09 62 desktop.ini 27/10/2003 17:09 Microsoft 2 fichier(s) 2790 octets 19 R‚p(s) 73890762752 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Corinne\Application Data 27/12/2005 11:46 Apple Computer 16/12/2005 19:14 560 ViewerApp.dat 06/11/2005 18:46 Zylom 25/10/2005 13:50 Google 26/06/2005 17:16 Ahead 03/06/2005 22:04 MSN6 28/05/2005 22:54 Motive 23/05/2005 18:20 Common Files 23/05/2005 18:13 HP 19/05/2005 19:40 7112 wklnhst.dat 15/05/2005 20:25 vlc 15/05/2005 20:00 196 G-Force Prefs (WindowsMediaPlayer).txt 14/05/2005 23:16 InterVideo 14/05/2005 23:00 Leadertech 14/05/2005 21:11 ArcSoft 14/05/2005 12:46 Help 14/05/2005 11:54 Macromedia 14/05/2005 11:30 62 desktop.ini 14/05/2005 11:30 Adobe 14/05/2005 11:30 AdobeUM 14/05/2005 11:30 Creative 14/05/2005 11:30 Identities 14/05/2005 11:30 Microsoft 14/05/2005 11:30 SampleView 14/05/2005 11:30 Sonic 14/05/2005 11:30 Symantec 14/05/2005 11:30 .. 14/05/2005 11:30 . 14/05/2005 11:30 Sun 4 fichier(s) 7930 octets 25 R‚p(s) 73890762752 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Damien Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Default User\Application Data 14/05/2005 10:56 AdobeUM 14/05/2005 10:56 Adobe 14/05/2005 10:56 Creative 23/04/2005 21:15 .. 23/04/2005 21:15 . 23/04/2005 12:34 SampleView 23/04/2005 12:34 Sonic 23/04/2005 12:34 Sun 23/04/2005 12:34 Symantec 27/10/2003 17:25 Identities 27/10/2003 17:09 62 desktop.ini 27/10/2003 17:09 Microsoft 1 fichier(s) 62 octets 11 R‚p(s) 73890758656 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Laura\Application Data 27/11/2005 11:18 InterVideo 27/10/2005 19:45 Google 21/09/2005 17:11 vlc 12/06/2005 07:51 Help 11/06/2005 20:17 ArcSoft 25/05/2005 11:21 Otto 18/05/2005 19:12 3278 wklnhst.dat 16/05/2005 17:44 150 G-Force Prefs (WindowsMediaPlayer).txt 15/05/2005 09:06 Macromedia 15/05/2005 09:04 MSN6 14/05/2005 12:12 62 desktop.ini 14/05/2005 12:12 Creative 14/05/2005 12:12 Adobe 14/05/2005 12:12 AdobeUM 14/05/2005 12:12 Identities 14/05/2005 12:12 Microsoft 14/05/2005 12:12 SampleView 14/05/2005 12:12 Sonic 14/05/2005 12:12 Sun 14/05/2005 12:12 .. 14/05/2005 12:12 . 14/05/2005 12:12 Symantec 3 fichier(s) 3490 octets 19 R‚p(s) 73890758656 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\Documents and Settings\Maurice\Application Data 19/01/2006 17:49 Startbeepaudio 19/01/2006 17:49 plan frag corn 20/11/2005 19:23 Google 20/11/2005 19:16 Common Files 20/11/2005 19:16 HP 01/08/2005 21:33 ArcSoft 02/06/2005 11:55 dvdcss 02/06/2005 11:53 196 G-Force Prefs (WindowsMediaPlayer).txt 27/05/2005 19:53 33688 wklnhst.dat 17/05/2005 12:30 MSN6 16/05/2005 11:11 Macromedia 16/05/2005 11:10 vlc 16/05/2005 11:07 62 desktop.ini 16/05/2005 11:07 AdobeUM 16/05/2005 11:07 Adobe 16/05/2005 11:07 Identities 16/05/2005 11:07 Creative 16/05/2005 11:07 Microsoft 16/05/2005 11:07 SampleView 16/05/2005 11:07 Sonic 16/05/2005 11:07 Symantec 16/05/2005 11:07 .. 16/05/2005 11:07 . 16/05/2005 11:07 Sun 3 fichier(s) 33946 octets 21 R‚p(s) 73890758656 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est 44B5-C3B1 R‚pertoire de C:\WINDOWS\Tasks 19/01/2006 17:49 268 AE3F64619104E075.job 28/10/2003 01:01 65 desktop.ini 27/10/2003 17:25 6 SA.DAT 27/10/2003 17:20 .. 27/10/2003 17:20 . 3 fichier(s) 339 octets 2 R‚p(s) 73ÿ890ÿ758ÿ656 octets libres ****************************************** Recherche dans Program files Le dossier C:\Program Files\C2Media n'existe pas *************** Fin du rapport **************** voilà, à vous maintenant baltrap et moe, régis et les autres pro de m'aider car c'est du chinois pour moi. merci beaucoup de votre aide.

Utilisateur anonyme · Answer

Bonjour, Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre. 1/Telecharge ceci: Clean Up 40:http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci à Balltrap34). http://pageperso.aol.fr/balltrap34/democleanup.htmDéconnecte toi d'Internet et ferme tout les programmes en cours.  Redémarre en mode sans échec Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. (Si F8 ne marche pas, essai F5) Rend visible les fichiers cachés et système panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extensions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système" clic sur [Appliquer] puis sur [ok] pour valider -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_  Lance hijackthis et clic sur [do a system scan only] cocher la case au début des lignes suivantes:  O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {96E30143-B258-C9B3-040C-03A2C24BE4D7} - C:\DOCUME~1\Maurice\APPLIC~1\STARTB~1\FindLess.exe O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [Active Bend Vc License] C:\Documents and Settings\All Users\Application Data\Rect Math Active Bend\software logo.exe O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueCecile.exeO16 - DPF: {C1C3CC42-F029-49A2-91C2-C043DFAE3C96} (Samson Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Dalila.cab valider en cliquant sur le bouton [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_  Recherche et supprime ces dossiers: Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher" S'ils sont présents, supprime: C:\Documents and Settings\Maurice\Application Data\Startbeepaudio C:\Documents and Settings\All Users\Application Data\Rect Math Active Bend-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ensuite fais Démarrer > exécuter et tape cmd puis valide avec ok dans la fenêtre qui va s'ouvrir, copie et colle ceci:del /a C:\WINDOWS	asks\AE3F64619104E075.job et valide en appuyant sur entrée -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ensuite, très important: :: Supprimer les fichiers temporaires :: Exécute cleanup40. -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Redémarre normalement et reposte un Hijackthis sur le poste… Précises moi ou en sont tes soucis…A+PS:Je ne veux pas passer pour une balance ou une boucave (selon le langugae), mais j'ai l'impression que certains utilisateurs surfs sur des sites pas tres sains je dirais.... ;-)

Utilisateur anonyme · Answer

SalutSupprime ce dossier aussi:C:\Documents and Settings\Maurice\Application Data\plan frag corn  a+

Utilisateur anonyme · Answer

Salut Moe,Exact, créé a la meme date lola+

cartésienne · Answer

merci les pro,je vais suivre vos instructions à la lettre.Mais avant, voici la fenêtre qui vient d'apparaître sur la session de mon fils   Microsoft Internet Explorer? IMPORTANT : l'analyse n'est pas encore terminée. Le présence d'erreurs de registre ou dans le Système d'archives, peuvent rendre imprévisible et erratique le fonctionnement de votre ordinateur ou bien, provoquer un blocage. Vous pouvez effectuer une analyse rapide complètement GRATUITE à l'aide de ErrorSafe.Voulez-vous télécharger ErrorSafe de façon à détecter et réparer les erreurs du registre maintenant ? (recommandé)OK  ANNULERVoilà, c'est apparu comme ça... Que dois faire ? répondre ok ?De quelle analyse non terminée il s'agit ?bon appétit et j'espère voir votre réponse plus tard. à +++

Utilisateur anonyme · Answer

Salut cartesienneSurtout ne clique pas sur les liens proposés, il s'agit de pub du service affichage des messages, desactive le pour ne plus être embétée par ce genre de pub mensongère.desactive le service affichage des messages"Menu Démarrer" ensuite "Exécuter" et tape: Services.msc clique ensuite sur "Ok"double clic sur  "Affichage des messages"Onglet "Général" dans le champ "type de démarrage" sélectionne "Désactivé"clique sur le bouton [Arréter]Clique sur "Appliquer"Valide par "Ok"a+

Utilisateur anonyme · Answer

salutTu as arrété le service affichage des messages ?Pour la commande, tu l'as tapé en entier ?essaye de faire comme ceci:demarrer executer et tape cmd puis valide.dans la fenetre qui s'ouvre, copie et colle tout ce qui est en bleu ci-dessous et dis moi si tu as un message d'erreur qui apparait.reposte aussi un rapport de lopxp.del /a C:\WINDOWS	asks\AE3F64619104E075.job a+

cartésienne · Answer

si jamais c'était bon (j'espère car au bout de presque une semaine, je commence à saturer)ma question est : dois-je aller sur les autres sessions de mon PC pour faire vérif ?poster de chaque session Hijackthis ?notamment sur la session de mon fils, car (je ne sais d'ailleurs comment il a fait, mais peut être qu'un jour je chercherai plus à moins que vous n'ayiez la réponse, il a les dossiers non partagés ?à +++

Utilisateur anonyme · Answer

c'est pas forcément nécessaire, par contre tu peux faire scanner ton pc par un antivirus en ligne.Ton problème venait essentiellement de l'installation de messenger plus et de deux contrôles active X acceptés sur des sites X, il y a une case à cocher en début de l'installation de messenger plus pour refuser d'installer le sponsor (la cause de tes problèmes).jete un oeil ici:http://theroot.chez.tiscali.fr/imgs/tuto/msgplus.jpgJe te conseilles d'installer un ou deux antispyware (totalements gratuits et complémentaires), notamment Spybot search & destroy et de bien lire l'aide de ce prog pour en tirer le meilleur parti.* Spybot S&D version 1.4:Lien de téléchargement:http://spybot.safer-networking.de/fr/mirrors/index.htmll'aide:http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm* Ad-aware 1.06:http://www.lavasoftusa.com/french/support/download/l'aide:http://www.tutopat.com/viewtopic.php?t=1191une petite video:http://pageperso.aol.fr/balltrap34/adawrevid.asf  Le patch francais pour ad-aware:http://download.lavasoft.de.edgesuite.net/public/pllangs.exePour les scans antivirus en ligne, fais ton choix: http://www.bitdefender.frhttp://webscanner.kaspersky.fr/http://housecall.trendmicro.coma++

afideg · Answer

Bonjour Régis ,Balltrap et Moe, Quel est l'élément déterminant dans C:\Documents and Settings\Maurice\Application Data ( mis à part la date qui correspond aux ennuis évoqués ) qui fait qu'il n'y a que 3 lignes/fichiers/clés ( je ne sais pas trop bien les dénommer ) à supprimer ( alors que Maurice \Application Data en contient beaucoup plus ..) ? Résumé ci-après pour illustrer ma question : < 58 >Ajouté par regis59 Recherche et supprime ces dossiers: Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher" S'ils sont présents, supprime: C:\Documents and Settings\Maurice\Application Data\Startbeepaudio . Ensuite fais Démarrer > exécuter et tape cmd >OK dans la fenêtre qui va s'ouvrir, copie et colle ceci: del /a C:\WINDOWS asks\AE3F64619104E075.job < 59 >Ajouté par moe31 Supprime ce dossier aussi: C:\Documents and Settings\Maurice\Application Data\plan frag corn < 60 > Ajouté par regis59 Exact, créé à la meme date ---->le 19/01/2006 Merci pour votre collaboration et vos explications .

Utilisateur anonyme · Answer

Salut comme je le disais au dessu, nous retrouvons ceci, responsable de lop.com O2 - BHO: (no name) - {96E30143-B258-C9B3-040C-03A2C24BE4D7} - C:\DOCUME~1\Maurice\APPLIC~1\STARTB~1\FindLess.exe O4 - HKLM\..\Run: [Active Bend Vc License] C:\Documents and Settings\All Users\Application Data\Rect Math Active Bend\software logo.exe Grace a lopxp, on sait bien les chemins + les autres fichiers lié a l infection, ainsi: C:\Documents and Settings\Maurice\Application Data\Startbeepaudio C:\Documents and Settings\All Users\Application Data\Rect Math Active Bend Puis dans lopxp, tu sais les autres fichiers lié a l infection en regardant la date et l'heure : 19/01/2006 17:49 Startbeepaudio 19/01/2006 17:49 plan frag corn a+++

cartésienne · Answer

bonsoir à tous,de retour, je procède à un scan en ligne avec bitdefender comme indiqé par Moe.voici le rapport :BitDefender Online Scanner     Rapport d'analyse généré à: Sat, Jan 28, 2006 - 20:25:13       Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;M:\;           Statistiques Temps 01:34:49 Fichiers 596540 Directoires 8136 Secteurs de boot 3 Archives 22663 Paquets programmes 64374      Résultats Virus identifiés 1 Fichiers infectés 2 Fichiers suspects 4 Avertissements 0 Désinfectés 0 Fichiers effacés 0      Info sur les moteurs Définition virus 254034 Version des moteurs AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Analyse des plugins 13 Archive des plugins 39 Unpack des plugins 4 E-mail plugins 6 Système plugins 1      Paramètres d'analyse Première action Désinfecté Seconde Action Aucun Heuristique Oui Acceptez les avertissements Oui Extensions analysées *; Excludez les extensions   Analyse d'emails Oui Analyse des Archives Oui Analyser paquets programmes Oui Analyse des fichiers Oui Analyse de boot Oui        Fichier analysé  Statut C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Echec de la désinfection C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Echec de la désinfection C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Echec de la désinfection D:\MiniNT\system32\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\MiniNT\system32\b4ndrcvy.bat Echec de la désinfection D:\I386\system32\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\I386\system32\b4ndrcvy.bat Echec de la désinfection D:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Echec de la désinfection  Merci de me dire ce que je dois faire.Pendant ce temps, j'ai lancé un autre scan en ligne avec kaspersky... qui lui, détecte pour l'instant à 37 % d'analyse 2 virus et 3 fichiers infectés.A bientôt de vous lire.

Utilisateur anonyme · Answer

Salut cartésienneEst ce que tu peux faire analyser ces fichiers un par un ici, j'ai un doute et d'après bitdefender ils ne sont que suspects.http://www.virustotal.com/xhtml/virustotal_en.htmlD:\MiniNT\system32\b4ndrcvy.bat D:\I386\system32\b4ndrcvy.bat D:\hp\patches\41WW2NDR\files\b4ndrcvy.bat poste le résultat+ le rapport de kaspersky si tu l'as conservé.a+

cartésienne · Answer

re-bonsoir à tous,l'autre jour, je pensais pouvoir clore le sujet...mais après ces deux scan en ligne, je pense que j'ai encore de quoi vous solliciter. même si j'ai beaucoup appris lors de nos échanges, je préfère m'en remettre à vos conseils à toi balltrap, moe ou régis.donc voici le rapport de kaspersky :KASPERSKY ON-LINE SCANNER - RAPPORT  samedi 28 janvier 2006 22:44:40Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)Version de Kaspersky On-line Scanner: 5.0.78.0Dernière mise à jour de la base antivirus Kaspersky : 28/01/2006Enregistrements dans la base antivirus Kaspersky : 173625  Paramètres d'analyse Analyser avec la base antivirus suivante étendue Analyser les archives vrai Analyser les bases de messagerie. vrai  Cible de l'analyse Dossiers C:\D:\I386\D:\MiniNT\   Statistiques de l'analyse Total d'objets analysés : 104207 Nombre de virus trouvés 5 Nombre d'objets infectés 16 Nombre d'objets suspects 0 Durée de l'analyse 01:18:13 Nom de l'objet infecté Nom du virus Dernière action C:\Documents and Settings\Corinne\Bureau\hijackthis.zip/backups/backup-20060122-204205-247.dll  Infecté: not-a-virus:Porn-Dialer.Win32.CDUpdater.a  ignoré   C:\Documents and Settings\Corinne\Bureau\hijackthis.zip/backups/backup-20060125-222006-451.dll  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\Documents and Settings\Corinne\Bureau\hijackthis.zip  ZIP: infecté - 2  ignoré   C:\Documents and Settings\Laura\Mes documents\Mes eBooks\hbtools.exe/data0012/data0004  Infecté: not-a-virus:AdWare.Win32.HotBar.be  ignoré   C:\Documents and Settings\Laura\Mes documents\Mes eBooks\hbtools.exe/data0012  Infecté: not-a-virus:AdWare.Win32.HotBar.be  ignoré   C:\Documents and Settings\Laura\Mes documents\Mes eBooks\hbtools.exe  NSIS: infecté - 2  ignoré   C:\Program Files\Adverts\uninst.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ai  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll  Infecté: not-a-virus:AdWare.Win32.NewDotNet  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009382.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009384.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009385.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009386.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009387.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP13\A0009388.exe  Infecté: not-a-virus:AdWare.Win32.Lop.ag  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll  Infecté: not-a-virus:AdWare.Win32.NewDotNet  ignoré   C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007098.dll  Infecté: not-a-virus:Porn-Dialer.Win32.CDUpdater.a  ignoré   Analyse terminée. merci de votre aide.

cartésienne · Answer

salut moej'ai essayé mais je ne peux pas analyser les fichiers qui sont sur Dcar c'est la Partition de réinstallationAvertissement ! Cette zone de votre disque dur(ou partition) contient des fichiers servantà la réinstallation de votre système. Vous ne devez jamais effacer ni modifier ces fichiers. Toute modification de cette partition pourraitempêcher la réinstallation ultérieure du système.D'ailleurs, le scan avec kaspersky comme tu peux le vois ci-dessus n'a rien détecté sur D.Quid ?

Utilisateur anonyme · Answer

essaye avec celui-ci qui est sur c:\C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Perso je pense que c'est un faux positif.Par contre tu peux supprimer ceux-là:C:\Documents and Settings\Laura\Mes documents\Mes eBooks\hbtools.exe C:\Program Files\Adverts <- le dossiera+

cartésienne · Answer

j'ai essayé avec celui-ci qui est sur c:\ C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat cela n'a rien donné : ce sont des fichiers de kaspersky :  la base que le scan on line a fait téléch avant de procéder au scan.RASMais en fait je réalise que lorsque le scan s'est fait avec bitdefender je n'avais pas encore ces fichiers kaspersky puisque le scan en ligne kaspersky je l'ai fait après.HELP ! je ne comprends plus rienSinon, ok pour C:\Documents and Settings\Laura\Mes documents\Mes eBooks\hbtools.exe C:\Program Files\Adverts <- le dossier j'ai supprimé.De plus, dans RECYCLER  plein de lignes du typeS-.....puis-je les supprimer ?si j'ai bien compris la lecon, je crois que ce sont les sauvegardes de spybot lorsqu'on les supprime qui arrivent dans ce dossier. merci de me le confirmer. et si oui, je peux les supprimer. Merci.

Utilisateur anonyme · Answer

Salut CartesienneTu parles du dossier:C:\System Volume Information\_restoreou bien:C:\RECYLERC:\RECYLER correpond à la poubelle, le scan av detecte des fichiers infectés dans ce dossier ?a+

cartésienne · Answer

salut moeoui je parle de fichiers infectés dans C: \system Volume Information\_restoreje viens de scanner en ligne avec trend micro qui a détecté un programme malveillant : Troj_SWIZZOR.DQet plusieurs graywares et programmes espions du typeADW_SE.70387..ou TRAK_SE.55986ou TRAK_SE.2762qu'il a nettoyés.Donc pour le fun, j'ai voulu rescanner avec bitdefendermais il trouve toujours ce qu'il a trouvé hier soir cadBitDefender Online Scanner     Rapport d'analyse généré à: Sun, Jan 29, 2006 - 22:54:11       Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;M:\;           Statistiques Temps 00:53:48 Fichiers 385387 Directoires 6004 Secteurs de boot 3 Archives 9758 Paquets programmes 45537      Résultats Virus identifiés 1 Fichiers infectés 2 Fichiers suspects 1 Avertissements 0 Désinfectés 0 Fichiers effacés 0      Info sur les moteurs Définition virus 254135 Version des moteurs AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Analyse des plugins 13 Archive des plugins 39 Unpack des plugins 4 E-mail plugins 6 Système plugins 1      Paramètres d'analyse Première action Désinfecté Seconde Action Aucun Heuristique Oui Acceptez les avertissements Oui Extensions analysées *; Excludez les extensions   Analyse d'emails Oui Analyse des Archives Oui Analyser paquets programmes Oui Analyse des fichiers Oui Analyse de boot Oui        Fichier analysé  Statut C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete C:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Echec de la désinfection C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Echec de la désinfection C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Echec de la désinfection    j'ai arrêté avant la fin du scan puisque c'était les mêmes choses détectées. A part sur D mais là, c'est un autre disque où il n'y a que la partition de restaurationdonc quid de ces fichiers dans system volume information   et quid du problème sur c:\HP\patchesdétecté également avec kaspersky on linelà vraiment je ne sais plus où j'en suis surtout que chaque scan en ligne montre les siens...Merci de votre aide à tous pour me sortir de ce pétrin.

cartésienne · Answer

au fait moe qu'entends-tu par faux positif ?

cartésienne · Answer

de plus, depuis le début de mes problèmes, j'ai à l'allumage du pcKBD.exe a rencontré un problème et doit fermer.alors dites moi que j'ai bien fait de faire msconfig et de décocher la case devant KBDmais comme j'ai entretemps aussi bien paramétré spybot, avec le résident voici ce qu'il me dit : 29/01/2006 00:22:40 Refusé(e) value "msnmsgr" (new data: ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background") ajouté(e) in System Startup user entry!29/01/2006 18:45:53 Refusé(e) value "msnmsgr" (new data: ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background") ajouté(e) in System Startup user entry!29/01/2006 20:31:20 Refusé(e) value "msnmsgr" (new data: "") supprimé(e) in System Startup user entry!29/01/2006 21:46:49 Refusé(e) value "eDonkey2000" (new data: "") supprimé(e) in System Startup global entry!29/01/2006 23:10:50 Autorisé(e) value "KBD" (new data: "") supprimé(e) in System Startup global entry!29/01/2006 23:11:02 Autorisé(e) value "MSConfig" (new data: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto") ajouté(e) in System Startup global entry!29/01/2006 23:13:45 Autorisé(e) value "KBD" (new data: "C:\HP\KBD\KBD.EXE") ajouté(e) in System Startup global entry!29/01/2006 23:13:51 Autorisé(e) value "MSConfig" (new data: "") supprimé(e) in System Startup global entry!29/01/2006 23:18:50 Autorisé(e) value "KBD" (new data: "") supprimé(e) in System Startup global entry!29/01/2006 23:19:04 Autorisé(e) value "MSConfig" (new data: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto") ajouté(e) in System Startup global entry!Merci de votre patience.

Utilisateur anonyme · Answer

Salut cartésienneApparement KBD.exe est lié à ton clavier, recoches le dans msconfig pour voir.Pour ces fichiers:C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP1\A0001044.dll Echec de la désinfection C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Détecté avec: Application.Adware.NewDotNet.B C:\System Volume Information\_restore{211185E4-3E3D-4923-87B5-FBFD527AD6D5}\RP8\A0007078.dll Echec de la désinfection ce sont des points de restauration système infectés, il te suffit de la désactiver puis de la réactiver pour les supprimer.Fais cette manip en dernier une fois que tu auras supprimé l'autre fichier infecté.Pour celui-ci je suis un peu plus septique:C:\hp\patches\41WW2NDR\files\b4ndrcvy.batCe que tu peux faire, clic droit sur le fichier  b4ndrcvy.bat>envoyer vers>dossier compressé.Tu verras apparaitre un dossier compressé du nom de b4ndrcvy.zip.Conserves le dans C:\hp\patches\41WW2NDR\files.Il te servira de sauvegarde au cas ou tu remarquerais un disfonctionnement.Ensuite supprime b4ndrcvy.bat, puis refais un scan av de contrôle.a++

cartésienne · Answer

saut Moej'ai besoin que tu me confirme : j'ai clic droit sur le ficheir b4ndrcvy.bt >envoyer vers>dossier compresséapparait la fenêtre suivante :"pour que les dossiers compressés traitent correctement les fichiers ZIP ils doivent être l'application associé à ces fichiers. Ce n'est pas le cas actuellement. Voulez-vous désigner les dossiers compressés comme l'application à utiliser pour le traitement des fichiers zip ? oui/non ?"Ce fichier correspond à fichier de commande MS-DOS - 5 KO)je préfère avoir une confirmation de ta part.pour le reste j'attends de régler ce problème si j'ai bien compris avant d'essayer de désactiver la restauration système qui supprimera ainsi les fichiers dans C:\system volume information...par contre, je viens de vérifier, dans RECYCLER, j'avais encore les fichiers que tu me demandais de supprimer au post 83 sur 4 j'ai pu les virer, pour l'autre j'ai utilisé chaos shredder.merci par avance, à +++

Utilisateur anonyme · Answer

HelloTu peux utiliser winrar, c'est pareil que le clic droit>envoyer vers.Tu recois ce message parce que winrar doit être le programme qui gère les fichier Zip.Fais ceci:clic droit sur b4ndrcvy.bat>Ajouter à "b4ndrcvy.rar"Si tu n'as pas ça, refait la première manip et au message:pour que les dossiers compressés traitent correctement les fichiers ZIP ils doivent être l'application associé à ces fichiers. Ce n'est pas le cas actuellement. Voulez-vous désigner les dossiers compressés comme l'application à utiliser pour le traitement des fichiers zip ? oui/non ?" Tu répond non, et tu me dis si le dossier compressé a bien été crée (b4ndrcvy.zip)a++

Whisky_Blanc · Answer

Bonjour a tousSi ca peu vous aider j'ai eu NewDotNet mais je suis en Windows 98 SE.Pour pouvoir le supprimer je suis passé sous dos avec une disquette de démarage etj'ai effacé le fichier NewDotNet.dll qui se trouvait dans le répertoire : C:\Program Files\NewDotNetAttention le sous répertoire NewDotNet est un répertoire caché.J'ai redémarré l'ordinateur et j'ai supprimé les clef dans la base de registre qui qui montaient la DLL en mémoire.Pour votre info Spybot - Search & Destroy n'a pas pu le supprimer.En ce qui concerne XP je ne le connais pas suffisament pour vous donner un peu plus de pistes.A bientot et bonne journée.

cartésienne · Answer

bonsoir à tous,salut Moej'ai procédé aux manip que tu m'as données. je récapitule :scan avec mon ANTIVIR Personal Edition Classic : RAS sauf 320 warning - voici le rapport  :Report file date: lundi 30 janvier 2006  20:27Jobname: 'Manual Selection'Scanning for 284303 virus strains and unwanted programs.Licensed to:        AntiVir PersonalEdition ClassicSerialnumber:       0000149996-WURGE-0001Platform:           Windows XPWindowsversion:     (Service Pack 1)  [5.1.2600]Username:           CorinneComputername:       FRANCHINVersioninformations:AVSCAN.EXE     : 7.0.0.19     524328    23/01/2006 15:35:48AVSCAN.DLL     : 7.0.0.19     42536     23/01/2006 15:35:48LUKE.DLL       : 7.0.0.19     114728    23/01/2006 15:35:48LUKERES.DLL    : 7.0.0.19     27688     23/01/2006 15:35:48ANTIVIR0.VDF   : 6.32.0.60    4323840   06/12/2005 10:47:34ANTIVIR1.VDF   : 6.33.0.97    675328    18/01/2006 14:31:52ANTIVIR2.VDF   : 6.33.0.131   122880    18/01/2006 14:31:52ANTIVIR3.VDF   : 6.33.0.139   28160     18/01/2006 14:31:52AVEWIN32.DLL   : 6.33.0.30    1016320   20/01/2006 11:42:50AVPREF.DLL     : 6.34.0.0     38440     18/01/2006 12:06:02AVREP.DLL      : 6.33.0.106   2301992   10/01/2006 10:10:46AVPACK32.DLL   : 6.33.0.6     331816    09/01/2006 09:03:38AVREG.DLL      : 6.31.0.90    27688     28/07/2005 10:06:36NETNT.DLL      : 6.32.0.0     6696      27/09/2005 07:56:50NETNW.DLL      : 6.32.0.0     9768      27/09/2005 07:56:50Start of the scan: lundi 30 janvier 2006  20:27Start scanning boot sectors:Boot sector 'C:'      [NOTE]      No virus was found!Boot sector 'D:'      [NOTE]      No virus was found!Starting to scan the registry.The registry was scanned ( 70 files ).Starting the file scan:C:\hiberfil.sys      [WARNING]   The file could not be opened!C:\pagefile.sys      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Films\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Ma musique\Eminem\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Ma musique\Eminem\The Eminem Show\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Ma musique\Stan Getz-João Gilberto\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Ma musique\Stan Getz-João Gilberto\Getz-Gilberto\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Ma musique\Échantillons de musique\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Mes Images\Échantillons d'images\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\All Users\Documents\Mes vidéos\Sample Videos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne
tuser.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Local Settings\Application Data\HP\Digital Imaging\Vault\cf592a40_1274048.png-6c1e-11d1-8e41-00c04fb9386d}      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Ma musique\Eros Ramazzotti\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Ma musique\Eros Ramazzotti\Eros [Italian Version]\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Ma musique\Imagination\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Ma musique\Ray Charles\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes courriers\Carte de voeux1.png-6c1e-11d1-8e41-00c04fb9386d}      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Fichiers reçus\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes images\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes images\étiquette albums 2004 2005.png-6c1e-11d1-8e41-00c04fb9386d}:$DATA      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes images\GCC Samples\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\03.07.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\05.07.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\06.02.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\11.06.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\12.06.2005 foot\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\2004\divers\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\2005-03 (mars)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\2005-05 (mai)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\31 décembre 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Anniversaire Laura\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Anniversaire Pépé et Roland\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\ardèche 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Fête des Mères\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Kermesse\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\La Colmiane\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\mar\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Neige\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Neige\22 février 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Noël 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photo papa à traiter\2005-05 (mai)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photo papa à traiter\2005-06 (juin)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\01.10.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\04.09.2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Album_18-12-2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Automne 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Bonus 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Bonus 2005\MIMES\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Eté 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\FOOT\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\MARIAGE 2 OCTOBRE 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\MARIAGE 25 septembre 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Mes albums\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Mes albums\Bonson le 25 07 2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Mes albums\centenire OGCN\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Mes albums\divers\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\1 SEMAINE\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\27 décembre 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\J+5\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\NOE 1er jour\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\photos NOE 2ème jour\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOE\RETOUR MAISON\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOEL 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\NOEL 2005\101MSDCF\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Photos d'identité\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\2004-08 (août)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\2004-09 (sept.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\2004-10 (oct.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\2004-12 (déc.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Scans\2004-12 (déc.)\2004-12 (déc.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Photos à traiter\Turini\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\Travaux bahamas\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\vacances 2005\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes Photos\vacances 2005\2005-07 (juil.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes vidéos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Mes vidéos\DiskTemp\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\CAHORS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\DIVERS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\JANVIER\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\MAI\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\NEIGE\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\NOEL\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\photo papa\PRINTEMPS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\2004\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\CAHORS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\DIVERS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\JANVIER\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\MAI\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\NEIGE\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\NOEL\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Corinne\Mes documents\Roland\Mes images\photo papa\PRINTEMPS\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Bureau\image\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Local Settings\Temp\hsperfdata_Laura\3208      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Ma musique\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Ma musique\Mes images\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Mes fichiers reçus\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Mes images\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Mes images\Photo\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Mes photos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Laura\Mes documents\Mes vidéos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\NTUSER.DAT      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\foot\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Al Jarreau\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Daniel Balavoine\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\George Michael\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\James Brown\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Mary J. Blige\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Michael Jackson\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Whitney Houston\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Ma musique\Will Smith\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Mes fichiers reçus\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\Mes images\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\mes photos\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\mes photos	ournoi ville de nice_fichiers\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\Maurice\Mes documents\My Scans\2006-01 (janv.)\Thumbs.dble      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\NTUSER.DAT      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\MAGIX\Photos_sur_CD_DVD4\DVD\backgrounds\Thumbs.dble      [WARNING]   The file could not be opened!C:\MAGIX\Photos_sur_CD_DVD4\My Audio Video\Mes images\Thumbs.dble      [WARNING]   The file could not be opened!C:\MAGIX\Photos_sur_CD_DVD4\My Audio Video\_Effets_combines_Demo\Thumbs.dble      [WARNING]   The file could not be opened!C:\MAGIX\Photos_sur_CD_DVD4\My Audio Video\_Image_dans_image_Demo\Thumbs.dble      [WARNING]   The file could not be opened!C:\Program Files\ArcSoft\ShowBiz 2\Contents\stills\Thumbs.dble      [WARNING]   The file could not be opened!C:\Program Files\ArcSoft\ShowBiz 2\Contents\videos\Thumbs.dble      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\default      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\default.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SAM      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SAM.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SECURITY      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SECURITY.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\software      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\software.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\system      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\system.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Control.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\dirapi.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\iml32.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Plugin.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\PluginPing.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\SwMenu.dll      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\CBrowser.x32      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\Flash Asset.x32      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\INetURL.x32      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\NetFile.x32      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\NetLingo.x32      [WARNING]   The file could not be opened!C:\WINDOWS\system32\Macromed\Shockwave 8\Xtras\Speech.x32      [WARNING]   The file could not be opened!C:\WINDOWS\Temp\ZLT07778.TMP      [WARNING]   The file could not be opened!End of the scan: lundi 30 janvier 2006  21:40Used time:  1:13:01 minThe scan has been done completely.   7274 Scanning directories 473261 Files were scanned      0 viruses and/or unwanted programs was found      0 files were deleted      0 files were repaired      0 files were moved to quarantine      0 files were renamed  20834 Archives were scanned    320 Warnings      3 Notesensuite j'ai passé un coup de SPYBOT : RASthe cleaner  : okpuisje me suis occupée du fameux fichier suspect :clic droit sur b4ndrcvy.bat>Ajouter à "b4ndrcvy.rar" le dossier a bien été compressé.ensuite j'ai désactivé la restauration puis l'ai réactivé.je me suis réoccupée de KBD.EXE Alors pour ca, j'ai décoché après avoir fait msconfig...mais au redemarrage, j'ai une fenête qui apparaît en disant que j'ai utilisé l'utilitaire de ...  et que je suis en démarrage sélectif ; si je clique sur démarrage normal alors là ce sont tous les processus et... qui se relancent et retour à la case départ.Alors pour désactiver KBD sur quoi je dois cliquer ensuite ou sur quel mode je dois rester pour que la décoche du processus kbd soit bien prise en compte.donc je reviens à l'autre problème :scan avec bitdefencder et làOK : plus de problèmes avec les ficheirs sur C: système volume information.MAIS 5 fichiers suspects : les deux mêmes que précédemment + un autre sur Dvoici le rapport BitDefender Online Scanner     Rapport d'analyse généré à: Thu, Feb 02, 2006 - 21:25:22       Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;M:\;           Statistiques Temps 01:33:29 Fichiers 616133 Directoires 8120 Secteurs de boot 3 Archives 22623 Paquets programmes 64566      Résultats Virus identifiés 0 Fichiers infectés 0 Fichiers suspects 5 Avertissements 0 Désinfectés 0 Fichiers effacés 0      Info sur les moteurs Définition virus 254475 Version des moteurs AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Analyse des plugins 13 Archive des plugins 39 Unpack des plugins 4 E-mail plugins 6 Système plugins 1      Paramètres d'analyse Première action Désinfecté Seconde Action Aucun Heuristique Oui Acceptez les avertissements Oui Extensions analysées *; Excludez les extensions   Analyse d'emails Oui Analyse des Archives Oui Analyser paquets programmes Oui Analyse des fichiers Oui Analyse de boot Oui        Fichier analysé  Statut C:\hp\patches\41WW2NDR\files\b4ndrcvy.rar=>b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete C:\hp\patches\41WW2NDR\files\b4ndrcvy.rar=>b4ndrcvy.bat Echec de la désinfection C:\hp\patches\41WW2NDR\files\b4ndrcvy.zip=>b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete C:\hp\patches\41WW2NDR\files\b4ndrcvy.zip=>b4ndrcvy.bat Echec de la désinfection D:\MiniNT\system32\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\MiniNT\system32\b4ndrcvy.bat Echec de la désinfection D:\I386\system32\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\I386\system32\b4ndrcvy.bat Echec de la désinfection D:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Suspecté de: BehavesLike:BAT.Delete D:\hp\patches\41WW2NDR\files\b4ndrcvy.bat Echec de la désinfection   alors voilà où j'en suis.mais je ne comprends pas pourquoi, Moe, le fichier b4ndrcvy.bat , tu me l'a fait compressé : ca change rien compressé ou pas si il y a infection ou pas quelle différence qu'un fichier soit compressé. Merci pour l'explication.ah encore un truc, qui apparaît, on dirait de temps en temps qu'un programme (?) s'ouvre sur la barre de tâche mais l'icone reste blanchatre et part très vite. donc impossible de voir qq chose.BREF, je ne voudrais pas monopoliser avec mes soucis mais je voudrais bien en finir avec tout ca et ne plus vous embeter.

Utilisateur anonyme · Answer

Salut cartesienneJe viens de voir sur le forum qu'une personne à exactement le même soucis que toi, et avec bitdefender aussi:http://www.commentcamarche.net/forum/affich-2072284-alerte-et-fichier-infec-BehavesLike-BAT-Delet#2006-02-03%2018%3A47%3A21Ca confirme ce que je pense, ce fichier n'est pas nocif, bitdefender ne le detecte pas comme un virus, il le suspecte seulement d'avoir un comportement similaire.De plus tu as compressé le fichier et il est donc devenu inactif et ne peut pas se lancer.Perso j'attendrais les nouvelles MAJ de bitdef, pour voir s'il est de nouveau redetecté.Maintenant, libre à toi de supprimer les sauvegardes que tu as faites de ce fichier, mais il semble lié à un patch édité par HP.Pour msconfig, une fois que tu as décoché KBD.exe et redemarré le pc, une fentre apparait te disant que tu aies en demarrage sélectif, il faut que tu coche la case en bas (ne plus m'avertir....) et que tu valide.Au prochain redemarrage la fenetre n'apparaitra plus et kbd.exe ne sera pas lancé automatiquement.a++

cartésienne · Answer

Bonsoir moe, et les autres,de retour après qq jours d'absence. je tenais à vous remercier pour l'aide que vous m'avez apportée.en ce qui concerne le fameux fichier détecté avec bitdefender, j'attends de voir si avec les maj il est de nouveau détecté.en tout cas avec scan de panda, il ne l'est pas.Je clôture donc ce topic et vous remercie encore.au fait comment faut-il faire pour clôturer un sujet sur le forum ?

Infecté par Newdotnet

73 réponses

Discussions similaires