Virus win32: obfuscated

Résolu
SARAH -  
 moe -
bonjour, j'ai un virus sur mon ordinateur ke avast ma detecté, il se nomme Win32:Obfuscated-BMP[Trj]... je suis en train de faire une analyse avec AVG Anti-Spyware et jai ccleaner sur mon ordi ... voila donc je ne suis pa tré doué en informatik é ca seré genti de maider pr enlevé ce virus merci davance
Configuration: Windows XP
Internet Explorer 7.0

56 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un virus détecté sur l’ordinateur, Win32:Obfuscated-BMP[Trj], est signalé par Avast et nécessite une procédure de désinfection associant analyses complémentaires et nettoyages ciblés issus d'autres outils.
Les étapes clés consistent à effectuer des analyses en ligne, puis à supprimer les éléments de démarrage et les fichiers suspects avec HijackThis et OTMoveIt, notamment.
Des contrôles complémentaires comme BitDefender Online Scanner ou Kaspersky Online Scanner et la vérification des entrées de registre ou services via des rapports HijackThis sont évoqués.
En complément, certaines recommandations évoquent la gestion des connexions réseau et la prudence lors de l’utilisation de scripts ou de liens fournis, pour éviter une réinfection ou une activité malveillante ultérieure.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. maitre19100 Messages postés 19 Statut Membre
     
    salut
    est ce que avast ta demander si tu voulai supprimer le virus ou le mettre en quarantaine?
    0
  2. moK´s@ Messages postés 4410 Statut Membre 89
     
    salut sarah,

    post le rapport de avg quand il aura fini, et supprime bien tout ce qu´il aura trouvé...

    puis post ca aussi :

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    @+
    0
    1. SARAH
       
      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 18:49:36 22/07/2007

      + Résultat de l'analyse:



      C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP229\A0026252.exe -> Trojan.Agent.apt : Nettoyé et sauvegardé (mise en quarantaine).


      Fin du rapport

      le rapor hijackthis:Logfile of HijackThis v1.99.1
      Scan saved at 19:15:51, on 22/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16473)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Acer\Empowering Technology\admServ.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      C:\WINDOWS\system32\CTsvcCDA.EXE
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Acer\Acer Arcade\PCMService.exe
      C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\acer\Empowering Technology\ePower\epm-dm.exe
      C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
      C:\Acer\Empowering Technology\admtray.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\igfxext.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
      C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
      O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
      O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE"
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Logitech SetPoint.lnk = ?
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Picture Package VCD Maker.lnk = ?
      O4 - Global Startup: Picture Package Menu.lnk = ?
      O11 - Options group: [INTERNATIONAL] International*
      O15 - Trusted Zone: www-scol.unilim.fr
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://babydoll875.spaces.live.com//PhotoUpload/MsnPUpld.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
      O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

      merci de m'aidé c genti
      0
  3. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    avec hijack this coche ceci :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe

    quitte tes applications et navigateur et fix laes lignes ci dessus

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    te sert tu de cette barre de recherche car elle est infecté par un spyware a mon avis ?

    Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll

    puis :

    telecharge
    Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    fais le marcher

    puis

    Fais ceci:
    tapes ceci dans Démarrer/Exécuter:
    %SystemRoot%\System32\restore\rstrui.exe
    Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
    Reboot.
    Ensuite refais l'inverse, réactive.

    comment faire :

    ¤Désactive ta restauration système:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique

    Télécharge LopxpMH sur ton Bureau.

    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

    Poste le contenu du rapport qui va s'ouvrir.

    @+
    0
    1. SARAH
       
      ca me mé un message derreur otmmovelt mé ca me mé ce rapor:
      File/Folder C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe not found.
      File/Folder not found.

      Created on 07/22/2007 20:03:15

      je nutilise pa la toolbar:
      Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll


      rapor av lop:
      Rapport lopxpMH2 version 2.0 fait à 20:08:08,96 le 22/07/2007
      C:\Documents and Settings\Vincent Sarah\Bureau\lopxpMH2

      ******************************************
      ## Répertoires Application Data

      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\Default User\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      02/10/2006 01:56 <REP> Identities
      06/01/2006 06:25 <REP> Microsoft
      06/01/2006 06:25 62 desktop.ini
      1 fichier(s) 62 octets
      4 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      02/10/2006 01:56 <REP> Acer Arcade
      02/10/2006 01:56 <REP> ApplicationHistory
      06/01/2006 06:31 <REP> Microsoft
      02/10/2006 01:56 135 fusioncache.dat
      02/10/2006 01:56 2 657 124 IconCache.db
      2 fichier(s) 2 657 259 octets
      5 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\All Users\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      02/10/2006 02:04 <REP> Acer
      06/01/2006 06:51 <REP> Adobe
      06/01/2006 06:53 <REP> CyberLink
      27/06/2007 16:50 <REP> Grisoft
      10/01/2007 11:28 <REP> HP
      02/10/2006 02:01 <REP> Intel
      30/06/2007 15:11 <REP> Messenger Plus!
      06/01/2006 06:25 <REP> Microsoft
      26/06/2007 21:55 <REP> WinAntiVirus Pro 2007
      29/12/2006 20:08 <REP> Windows Genuine Advantage
      06/01/2006 06:25 62 desktop.ini
      10/01/2007 10:49 965 hpzinstall.log
      2 fichier(s) 1 027 octets
      12 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\NetworkService\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      06/01/2006 06:25 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      06/01/2006 06:34 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\LocalService\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      06/01/2006 06:25 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      06/01/2006 06:34 <REP> Microsoft
      0 fichier(s) 0 octets
      3 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\Vincent Sarah\Application Data

      02/10/2006 01:57 <REP> .
      02/10/2006 01:57 <REP> ..
      02/10/2006 02:04 <REP> Acer
      05/10/2006 13:55 <REP> Adobe
      07/10/2006 14:27 <REP> AdobeUM
      07/10/2006 14:33 <REP> Creative
      02/10/2006 02:23 <REP> CyberLink
      30/06/2007 15:25 <REP> Else plus
      27/06/2007 16:50 <REP> Grisoft
      05/06/2007 20:06 <REP> Help
      10/01/2007 11:29 <REP> HP
      02/10/2006 01:57 <REP> Identities
      27/01/2007 14:38 <REP> Image Zone Express
      04/10/2006 19:30 <REP> Logitech
      02/10/2006 01:57 <REP> Macromedia
      02/10/2006 01:57 <REP> Microsoft
      07/10/2006 16:45 <REP> Template
      13/04/2007 19:28 <REP> U3
      24/10/2006 21:45 <REP> WMA 64K
      02/10/2006 01:57 62 desktop.ini
      14/06/2007 19:05 284 ViewerApp.dat
      07/10/2006 16:45 3 958 wklnhst.dat
      3 fichier(s) 4 304 octets
      19 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Documents and Settings\Vincent Sarah\Local Settings\Application Data

      02/10/2006 01:57 <REP> .
      02/10/2006 01:57 <REP> ..
      02/10/2006 01:57 <REP> Acer Arcade
      05/10/2006 13:55 <REP> Adobe
      02/10/2006 01:57 <REP> ApplicationHistory
      05/06/2007 20:06 <REP> Help
      13/10/2006 20:00 <REP> Identities
      02/10/2006 01:57 <REP> Microsoft
      07/10/2006 14:31 <REP> Powercinema
      24/03/2007 22:34 <REP> WMTools Downloaded Files
      12/10/2006 19:21 22 016 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      02/10/2006 01:57 136 fusioncache.dat
      02/10/2006 01:59 51 440 GDIPFONTCACHEV1.DAT
      02/10/2006 01:57 4 287 646 IconCache.db
      4 fichier(s) 4 361 238 octets
      10 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

      28/05/2006 06:36 <REP> .
      28/05/2006 06:36 <REP> ..
      02/10/2006 01:56 <REP> Identities
      02/10/2006 02:01 <REP> Intel
      06/01/2006 06:25 <REP> Microsoft
      06/01/2006 06:25 62 desktop.ini
      1 fichier(s) 62 octets
      5 Rép(s) 9 453 993 984 octets libres
      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

      28/05/2006 06:36 <REP> .
      28/05/2006 06:36 <REP> ..
      02/10/2006 01:56 <REP> Acer Arcade
      02/10/2006 01:56 <REP> ApplicationHistory
      06/01/2006 06:31 <REP> Microsoft
      02/10/2006 01:56 135 fusioncache.dat
      02/10/2006 01:56 2 657 124 IconCache.db
      2 fichier(s) 2 657 259 octets
      5 Rép(s) 9 453 993 984 octets libres

      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks

      ******************************************
      ## Répertoires de C:\Program Files

      Le volume dans le lecteur C s'appelle ACER
      Le numéro de série du volume est 320D-180E

      Répertoire de C:\Program Files

      28/05/2006 06:39 <REP> .
      28/05/2006 06:39 <REP> ..
      06/01/2006 06:52 <REP> Acer
      06/01/2006 06:50 <REP> Acer Inc
      06/01/2006 06:51 <REP> Adobe
      30/06/2007 15:25 <REP> Adverts
      02/10/2006 20:23 <REP> Alwil Software
      06/01/2006 06:29 <REP> ComPlus Applications
      06/01/2006 06:42 <REP> CONEXANT
      07/10/2006 13:49 <REP> Creative
      06/01/2006 06:53 <REP> CyberLink
      30/06/2007 15:25 <REP> Else plus
      12/10/2006 16:55 <REP> eMule
      06/01/2006 06:25 <REP> Fichiers communs
      26/06/2007 20:42 <REP> Google
      27/06/2007 16:50 <REP> Grisoft
      10/01/2007 11:25 <REP> Hewlett-Packard
      22/07/2007 19:15 <REP> Hijackthis Version Française
      10/01/2007 10:51 <REP> HP
      06/01/2006 06:37 <REP> Intel
      06/01/2006 06:29 <REP> Internet Explorer
      02/10/2006 02:00 <REP> Launch Manager
      04/10/2006 19:24 <REP> Logitech
      01/06/2007 21:44 <REP> Maxis
      06/01/2006 06:29 <REP> Messenger
      30/06/2007 15:25 <REP> Messenger Plus! Live
      30/06/2007 15:14 <REP> MessengerPlus! 3
      06/01/2006 06:31 <REP> microsoft frontpage
      02/10/2006 02:08 <REP> Microsoft Office
      02/10/2006 02:07 <REP> Microsoft Works
      06/01/2006 06:29 <REP> Movie Maker
      06/01/2006 06:28 <REP> MSN
      06/01/2006 06:29 <REP> MSN Gaming Zone
      03/10/2006 23:12 <REP> MSN Messenger
      20/11/2006 21:34 <REP> MSXML 4.0
      06/01/2006 06:29 <REP> NetMeeting
      06/01/2006 06:58 <REP> NewTech Infosystems
      06/01/2006 06:29 <REP> Online Services
      06/01/2006 06:29 <REP> Outlook Express
      14/06/2007 18:27 <REP> PIXELA
      06/01/2006 06:42 <REP> Realtek
      18/01/2007 20:04 <REP> SAMSUNG
      06/01/2006 06:30 <REP> Services en ligne
      26/06/2007 23:25 <REP> Softwin
      14/06/2007 18:24 <REP> Sony Corporation
      06/01/2006 06:48 <REP> Synaptics
      01/06/2007 20:29 <REP> Wanadoo
      26/06/2007 21:55 <REP> WinAntiVirus Pro 2007
      30/06/2007 15:25 <REP> Windows Live
      06/01/2007 11:33 <REP> Windows Media Connect 2
      06/01/2006 06:29 <REP> Windows Media Player
      06/01/2006 06:28 <REP> Windows NT
      02/10/2006 02:01 <REP> WinPCap
      06/01/2006 06:31 <REP> xerox
      0 fichier(s) 0 octets
      54 Rép(s) 9 453 993 984 octets libres

      ******************************************
      ## Popups autorisées

      * Internet Explorer

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
      netbios-wait.com REG_SZ
      www.netbios-wait.com REG_SZ
      mysearchnow.com REG_SZ
      www.mysearchnow.com REG_SZ

      * Mozilla Firefox (1 autorisé 2 interdit)

      ******************************************
      ## Registre

      ******************************************
      ## Zones de sécurité

      * HKCU Domains (4)

      * P3P History (5)

      ******************************************
      ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


      *************** Fin du rapport ****************
      0
    2. SARAH
       
      merci é dsl davoir tardé a répondre
      0
    3. SARAH
       
      re
      mon ordi né plu infecté par un virus?

      si ca pe étr utile: Logfile of HijackThis v1.99.1
      Scan saved at 20:42:47, on 22/07/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16473)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Acer\Empowering Technology\admServ.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      C:\WINDOWS\system32\CTsvcCDA.EXE
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
      C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Acer\Acer Arcade\PCMService.exe
      C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\acer\Empowering Technology\ePower\epm-dm.exe
      C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
      C:\Acer\Empowering Technology\admtray.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\igfxext.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
      C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll
      O4 - HKLM\..\Run: [LaunchApp] Alaunch
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
      O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
      O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
      O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE"
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Logitech SetPoint.lnk = ?
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Picture Package VCD Maker.lnk = ?
      O4 - Global Startup: Picture Package Menu.lnk = ?
      O11 - Options group: [INTERNATIONAL] International*
      O15 - Trusted Zone: www-scol.unilim.fr
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://babydoll875.spaces.live.com//PhotoUpload/MsnPUpld.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
      O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
      O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
      O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
      0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Hello mok' s@

    C'est beau

    Commencer par ceci :
    (sponsor d'msn plus en suivant les instructions de ce lien
    https://1map.com/fr/astwindscom

    Fais démarrer>>panneau de configuration>>ajout/suppr de programme et clique une fois sur celui là: MessengerPlus! 3

    Clique sur le bouton "Modifier/Supprimer"
    Sélectionne la 1ère option : "Désinstaller le sponsor uniquement".
    Clique ensuite sur "Désinstaller"

    Comme ça tu peux toujours utiliser ton programme mais sans être pollué de tout un tas de cochonneries.
    Il n'y aura plus ainsi à s'occuper de ADVERTS.
    Si tu supprimes ADVERTS trop vite, on ne sait plus réussir facilement la manip .

    Pour info ( et confirmation de ta part SVP ).
    Merci
    Al.
    0
    1. SARAH
       
      le lien ne fonctionne pas, dois-je suivre tes instructions ou attendre celle de moks? merci en tou k
      0
    2. SARAH
       
      effectivemen il me fo le lien car cela me propose de tou supprimer alor je ne c komen suprimer ke le sponsor...
      merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moK´s@ Messages postés 4410 Statut Membre 89
     
    salut afideg,

    oui c´est beau comme tu dis...

    kiitos ;-)

    sarah :

    ¤
    pour messenger live le 1 et 3:

    Messenger plus est un add-on non officiel à "Messenger MSN", gratuit grâce à la sponsorisation. Malheureusement ils ont choisi comme sponsor, ni plus ni moins, LOP.COM !!!

    On le voit à un bouton installé dans la barre et qui porte un nom quelconque, généré aléatoirement, à la volée, de manière à empêcher les anti-spywares de le détecter par la méthode des signatures.

    Lop.com est une des pire cochonneries qui s'installent sournoisement sur nos machines, furtif et très difficile à retirer. Son installation se fait en utilisant des noms et des clés de registres générées aléatoirement. Il s'installe, du point de vue technique, partiellement sous la forme d'un Bho hostile dont le nom et la clé de registre sont générés aléatoirement ce qui fait des billions (milliers de millions) de combinaisons possibles. Impossible d'en faire une liste ce qui rend le travail des anti-spywares basés sur des scanners et des listes de signatures, totalement impossible.

    Pour éradiquer Messenger Plus, il suffit de passer par le classique panneau de configuration de Windows et, dans ajout/suppression de programmes, il suffit de supprimer (désinstaller)

    * Messenger Plus
    * Messenger Plus Random Quote Addon

    Mais ceci ne supprime pas lop.com.

    Il existe un outil pour retirer lop.com, qui traîne encore sur l'ordinateur après éradication de Messenger Plus:

    Télécharge NoLop sur ton bureau
    ---> http://www.spywareedge.net

    Double-clic sur NoLop.exe puis clic sur Search and Destroy.
    Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
    Clic sur REBOOT, un message apparaîtra au redémarrage.
    Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log

    Vous pouvez, ensuite, réinstaller "Messenger Plus" - mais en DECOCHANT la case "sponsor" puisque vous avez le choix.

    ¤
    puis

    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    Supprime ceci:

    C:\Program Files\adverts

    ¤
    c´est quoi ce programme?

    Else plus

    ¤
    puis avec hijack thisa coche ceci :

    O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll

    quitte tes applications et navigateur et fix la ligne ci dessus

    puis avec ot move it supprime ceci :

    C:\WINDOWS\system32\ToolBand.dll

    ¤
    puis :

    Fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    post le rapport otmove it et navilog option 1

    @+
    0
    1. SARAH
       
      le lien pr ke jinstalle nolop ne marche pa cela mafiche un message derreur, jai bien desinstaller messenger+. je souhaite installer nolop peux tu menvoyer un lien valide stp merci bokou en tou k
      ++
      0
    2. SARAH
       
      le message derreur kan je souhaite installer nolop est :
      Component "mscomctl.ocx' or one of its dependencies not correctly registered: a file is missing or invaled
      0
  7. moK´s@ Messages postés 4410 Statut Membre 89
     
    Télécharge NoLop sur ton bureau
    ---> http://www.spywareedge.net

    Double-clic sur NoLop.exe puis clic sur Search and Destroy.
    Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
    Clic sur REBOOT, un message apparaîtra au redémarrage.
    Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log

    0
    1. SARAH
       
      dsl é merci de continué a maidé mé cela mafiche le message derreur ke je t cité precedemmen...je fé petétr une movaise manip c bien : 'executer' puis encore 'executer'?
      0
  8. moK´s@ Messages postés 4410 Statut Membre 89
     
    re,

    va sur ce site et telecharge le dossier zip "mscomctl.ocx"

    tu click sur "HERE"pour commencer le telechargement

    en suite tu le dezip sur ton bureau et puis tu l´amène dans C:\WINDOWS\SYSTEM32

    puis tu click sur demarrer>executer et dans la boite de dialogue tu tape ceci :

    REGSVR32 MSCOMCTL.OCX

    puis ok
    0
    1. SARAH
       
      je suis vrément dslé é pa tré doué..javou mé kel site? merci enkore é dsl si je te fé perdr ton tem
      0
    2. moK´s@ Messages postés 4410 Statut Membre 89 > SARAH
       
      http://www.majorgeeks.com/faqshow.php?id=8

      desolé je l´ai pas mis...
      0
    3. SARAH > moK´s@ Messages postés 4410 Statut Membre
       
      merci alor le souci c ke je ne c pa komen le deplacer ver "C windows32"
      0
    4. moK´s@ Messages postés 4410 Statut Membre 89 > moK´s@ Messages postés 4410 Statut Membre
       
      tu l´as sur ton bureau , oué?

      tu click sur la touche windows en bas a droite de la barre d´espace puis sur "e" simultanement tu va te retrouver sur ton post de travail, puis tu click sur ton disque c puis >windows>system32 tu ouvre le fichier system32 et tu réduit la fenetre de maniere a voir ton bureau et tu deplace le fichier MSCOMCTL.OCX dedans a l´aide la la sourie...
      0
    5. SARAH > moK´s@ Messages postés 4410 Statut Membre
       
      jai fé la procedure ke tu ma ekpliké é ca me mé : loadlibrary (MSCOMCTL) a échoué-le module spécifié é introuvable.
      Dsl pr le retar, si tu né plu la je viendé lire la réponse demin, merci bokou enkor une foi
      0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Mok' s@

    Peut-être avec ça ?
    - RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le.
    Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows.
    Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows.

    Al.
    ( PS: Jamais utilisé ) ;)
    0
  10. moK´s@ Messages postés 4410 Statut Membre 89
     
    salut sarah et afideg

    bon si je comprends bien quand tu as eu le message "loadlibrary (MSCOMCTL) a échoué-le module spécifié é introuvable. " tu n´avais pas encore mis le fichier mscomctl.ocx" dans le system 32?

    sinon, si il y etait lorsque tu as fais ca : puis tu click sur demarrer>executer et dans la boite de dialogue tu tape ceci :

    REGSVR32 MSCOMCTL.OCX


    Ps : as tu laissé un espace entre REGSVR32 et MSCOMCTL.OCX??

    alors oui si il y etait, essaie le logiciel que nous propose afideg...

    - RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le.
    Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows.
    Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows.

    dis nous quoi

    @+
    0
    1. SARAH
       
      OK ALOR JAI INSTALLER regdllocx, je lé m sur mon buro é g fé extrair tou ensuite jai cliké sur le fichié é ca ne ma rien fé enfin ca nouvr rien mé peutétr ke c normal. ke dois je fair mtnan?
      merci bokoi de ne pa mabandoné lol!
      0
  11. moK´s@ Messages postés 4410 Statut Membre 89
     
    sarah,

    lis ce qui suit et fais comme indiqué :

    Ce type d'erreur est principalement lié à une différence de version entre le fichier Windows MSCOMCTL.OCX présent dans votre système et celle attendue et utilisée par le logiciel. La version minimale nécessaire est 6.0.88.62 (~500Ko).
    Pour mettre à jour votre Windows, procédez aux étapes suivantes :
    1. Recherchez dans le répertoire Windows le fichier MSCOMCTL.OCX
    2. Avec le click droit de la souris, affichez son menu contextuel et sélectionnez Propriétés. Le second onglet de la fenêtre qui s'affiche vous indique la version. En cas d'inexistence du fichier ou de version inférieure, déplacez le fichier dans un autre répertoire, par exemple sous C:\ et passez à l'étape suivante. Attention ne supprimez pas ce fichier, il sera nécessaire en cas d'échec de la procédure. En cas de version identique, effectuez l'étape 3 et réalisez un enregistrement dans la base de registre, comme indiqué dans l'étape 7.
    3. Si vous n'avez pas le programme RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le. Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows. Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows.
    4. Sélectionnez le fichier MSCOMCTL.OCX déplacé et avec le click droit de la souris, choisissez l'item Dé-enregistrer du menu contextuel.
    5. Téléchargez et décompressez la version 6.0.88.62 : MSCOMCTL.ZIP (~500Ko)< http://blq.free.fr/Win/MSCOMCTL.zip > .Copiez le fichier MSCOMCTL.OCX téléchargé dans le répertoire d'origine de l'ancien fichier, par exemple C:\WINNT\System32\ avec Windows 2000.
    6. Sélectionnez le fichier nouvellement copié et avec le click droit de la souris, choisissez l'item Enregistrer du menu contextuel. Vous pouvez à nouveau lancez le logiciel. En cas de problème, effectuez la même procédure d'enregistrement et de dé-enregistrement mais avec le fichier d'origine.

    @+
    0
    1. SARAH
       
      re
      keske tu enten par reertoire windows?
      peux tu mexpliké a koi me ser de faire cette manoeuvre
      é dois-je laissé le fichié ke jai crée dan system32: mscomctl...
      je suis dsl mé ce né pa faciel pr moi je komprne pa tte c instruction en tt k jai installé le programe regdllocx
      merci
      0
      1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602 > SARAH
         
        Salut SARAH,


        Et moi, je ne sais pas lire tes SMS !
        Tu pourrais faire l'effort d'écrire correctement, et parfois de consulter Google ( par exemple pour savoir ce qu'est un répertoire ).
        Non mais ...

        Merci d'y mettre du tien.
        Al.
        0
  12. moK´s@ Messages postés 4410 Statut Membre 89
     
    cherche le fichier dans le system32

    cette nanip va nous aider a obtenir La version minimale nécessaire " 6.0.88.62 (~500Ko). "

    tu comprends le reste?

    @+
    0
    1. SARAH
       
      bonjour moK's@,

      J'ai cherché le fichier dans système32, il y en a un qi se nomme "mscomctl" mais c'est celui que j'ai rajouté moi-même à l'aide de tes insructions, sa taille est 1,01 Mo.Dans system32 il y a également un fichier qui se nomme Mscomct2.ocx, sa taille est de 632 Ko. Je pense que tu pourras me répondre que ce soir, merci à toi.
      0
    2. moK´s@ Messages postés 4410 Statut Membre 89
       
      salut sarah,

      bon alors ca devrais etre bon, il fait plus de 500ko

      tu n´arrive toujours pas a passer ceci :

      Télécharge NoLop sur ton bureau
      ---> http://www.spywareedge.net

      Double-clic sur NoLop.exe puis clic sur Search and Destroy.
      Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
      Clic sur REBOOT, un message apparaîtra au redémarrage.
      Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log

      ?

      @+
      0
      1. SARAH > moK´s@ Messages postés 4410 Statut Membre
         
        bonsoir,
        ok mais non je n'arrive toujours pas à télécharger Nolop cela m'affiche toujours le même message d'erreur...
        0
      2. moK´s@ Messages postés 4410 Statut Membre 89 > SARAH
         
        bon continue avec ceci, on verra plus tard pour lop

        Fais un clic droit sur ce lien :
        http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
        Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
        Ensuite double clique sur navilog1.exe pour lancer l'installation.
        Une fois l'installation terminée, le fix s'exécutera automatiquement.
        (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

        Laisse-toi guider. Au menu principal, choisis 1 et valides.
        (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

        Patiente jusqu'au message :
        *** Analyse Termine le ..... ***
        Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
        Copie-colle l'intégralité dans une réponse. Referme le blocnote.
        Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

        post le rapport otmove it et navilog option 1
        0
      3. SARAH > moK´s@ Messages postés 4410 Statut Membre
         
        OK:

        Search Navipromo version 2.0.5 commencé le 24/07/2007 à 22:06:25,92

        !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
        !!! Poster ce rapport sur le forum pour le faire analyser !!!
        !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

        Fix lancé depuis C:\Program Files\navilog1
        Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

        Executé en mode normal

        *** Recherche Programmes installes ***

        bon ca c'est pour le rapport




        *** Recherche dossiers dans C:\WINDOWS ***




        *** Recherche dossiers dans C:\Program Files ***




        *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




        *** Recherche dossiers dans C:\Documents and Settings\Vincent Sarah\Application Data ***



        *** Recherche avec BlackLight Engine/F-secure ***
        BlackLight Engine est un produit de F-secure, pour + d'infos :
        https://www.f-secure.com/en


        F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
        ======================================

        Copyright 2005-2006 F-Secure Corporation. All rights reserved.
        This is a beta version. It will expire on 1st of October, 2007.
        Version information: 2.2.1064.

        [+] Started on 07/24/07 at 22:06:29.
        [+] Initializing ...
        [+] Starting scan, press Ctrl-C to abort.
        [+] Scanning for hidden items .......................
        [+] Scan complete.
        [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
        [+] Exited on 07/24/07 at 22:07:06 (return code = 0).


        *** Recherche fichiers ***




        *** Recherche cles registre ***


        Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



        Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



        Recherche Clé Magic Control



        *** Module de Recherche complémentaire ***
        (Recherche fichiers spécifiques)

        1)Recherche fichiers connus:

        C:\WINDOWS\system32\ybeeg.bak1 trouvé ! infection Vundo possible non traité par cet outil !

        2)Recherche Heuristique :
        *
        **
        ***
        ****
        *****
        ******
        *******
        ********

        3)Recherche Certificats :


        *** Analyse Terminé le 24/07/2007 à 22:07:22,73 ***

        bon ca c'est le rapport otmove it mais je ne pense pas que c'est ce que tu attendais,ca me met un message d'erreur à la fin mais je t'envoies ceci quand même...


        File/Folder Search Navipromo version 2.0.5 commencé le 24/07/2007 à 22:06:25,92 not found.
        File/Folder not found.
        File/Folder !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! not found.
        File/Folder !!! Poster ce rapport sur le forum pour le faire analyser !!! not found.
        File/Folder !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! not found.
        File/Folder not found.
        File/Folder Fix lancé depuis C:\Program Files\navilog1 not found.
        File/Folder Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO not found.
        File/Folder not found.
        File/Folder Executé en mode normal not found.
        File/Folder not found.
        File/Folder *** Recherche Programmes installes *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche dossiers dans C:\WINDOWS *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche dossiers dans C:\Program Files *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche dossiers dans C:\Documents and Settings\Vincent Sarah\Application Data *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche avec BlackLight Engine/F-secure *** not found.
        File/Folder BlackLight Engine est un produit de F-secure, pour + d'infos : not found.
        File/Folder https://www.f-secure.com/en not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR not found.
        File/Folder ====================================== not found.
        File/Folder not found.
        File/Folder Copyright 2005-2006 F-Secure Corporation. All rights reserved. not found.
        File/Folder This is a beta version. It will expire on 1st of October, 2007. not found.
        File/Folder Version information: 2.2.1064. not found.
        File/Folder not found.
        File/Folder [+] Started on 07/24/07 at 22:06:29. not found.
        File/Folder [+] Initializing ... not found.
        File/Folder [+] Starting scan, press Ctrl-C to abort. not found.
        File/Folder [+] Scanning for hidden items ....................... not found.
        File/Folder [+] Scan complete. not found.
        File/Folder [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming. not found.
        File/Folder [+] Exited on 07/24/07 at 22:07:06 (return code = 0). not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche fichiers *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Recherche cles registre *** not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder Recherche Clé Magic Control not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Module de Recherche complémentaire *** not found.
        File/Folder (Recherche fichiers spécifiques) not found.
        File/Folder not found.
        File/Folder 1)Recherche fichiers connus: not found.
        File/Folder not found.
        File/Folder C:\WINDOWS\system32\ybeeg.bak1 trouvé ! infection Vundo possible non traité par cet outil ! not found.
        File/Folder not found.
        File/Folder 2)Recherche Heuristique : not found.
        File/Folder * not found.
        File/Folder ** not found.
        File/Folder *** not found.
        File/Folder **** not found.
        File/Folder ***** not found.
        File/Folder ****** not found.
        File/Folder ******* not found.
        File/Folder ******** not found.
        File/Folder not found.
        File/Folder 3)Recherche Certificats : not found.
        File/Folder not found.
        File/Folder not found.
        File/Folder *** Analyse Terminé le 24/07/2007 à 22:07:22,73 *** not found.

        Created on 07/24/2007 22:14:38
        0
  13. tiego94 Messages postés 14 Statut Membre 4
     
    bonjour moi ausi je crois que je suis dans le meme cas avast m'a détécté un cheval de troie a plusieurs reprises dans la journée j'ai donc decidée de faire une analyses des tout mon disque dur et avast a trouvé 23 fichiers infécté qui se nommait tous win32 donc je rois que je suis dans le meme cas de figure que sarahh ... silvouplet aider moi en me disant que dos je faire en premier lieu ???
    0
    1. moK´s@ Messages postés 4410 Statut Membre 89
       
      Bonsoir tiego94,

      Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace...
      Procèdes comme ceci :
      http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

      A bientôt
      0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir Mok' s@

    Peut-être tenter ceci pour Lop :

    Télécharge Lopxp sur le Bureau : < http://cjoint.com/data/hlrdAgpMrK_Lopxp_Setup.zip > pour avoir cette page < http://img54.imageshack.us/img54/6444/screenshot004jx2.png >

    Il faut dézipper le .zip ; on obtient ceci : < http://img112.imageshack.us/img112/5174/screenshot008jr9.png >

    Pour obtenir le raccourci Lopxp_Setup , il faut parfois faire double-clic sur la deuxième icône puis [annuler].

    Choisir l’option 1 (Rechercher/Générer un rapport) ==> et le poster.
    Choisir l’option 2 ( Suppression P2P) ==> et poster le rapport.

    Bonne chance
    Al.

    EDIT: Il y a quelque chose de bizarre :

    - Le log HJT post#3 donne cette ligne
    O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe

    - Post#4
    --avec HijackThis coche ceci et fixe :
    O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe
    ---avec OTMoveIt supprimer C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe ==> non trouvé!

    -Post#5 LopXP-MH2 trouve encore
    --C:\Documents and Settings\Vincent Sarah\Application Data\Else plus
    ---C:\Program Files\Else plus
    ----[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-
    -----Je passe outre de MessengerPlus! 3 ( et son fou ADVERTS ) ==> est-ce que ça a été corrigé ?
    0
  15. moK´s@ Messages postés 4410 Statut Membre 89
     
    salut afideg,

    on a deja passé lopxp, ce que j´essayais de lui faire passer c´etait "no lop" apres la désinstallation de messenger plus.

    par contre navilog n´as pas eté passé...

    il y a presence de winantivirus pro 2007 alors avec navilog...

    kiitos ;-)

    @+
    0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Non, le lopxp n'est pas le même outil que LopXP-MH2
    Pour Navilog1, d'accord ( je savais qui'l avait été demandé) je ne savais pas qu'il n'avait pas été réalisé.
    0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    (suite)
    Télécharger sur le Bureau. VundoFix
    < http://www.atribune.org/ccount/click.php?id=4 >
    = Double-clic VundoFix.exe.
    = Clic OK
    =Attendre le redemarrage de Vundofix
    =Clic Scan for Vundo
    = le scan est assez long (1à2h) , à la fin
    =Clic Remove Vundo
    = Puis yes
    = Le Bureau disparaît un moment lors de la suppression des fichiers.
    =Message shutdown
    =clic oui
    =Redémarrage auto
    Note : il peut y avoir plusieurs redémarrages
    =copier le rapport qui est dans C:\vundofix.txt
    Le poster sur ce forum

    ---------
    Télécharger sur le bureau VirtumondoBegone
    < http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe >
    =Double clic sur VirtumundoBeGone.exe
    =clic Continue ==> clic Start
    =clic Oui
    =A la fin si Vundo est présent , le PC s’éteint et redémarre

    Si Ecran bleu et message : Erreur fatale .. pas de problème

    =Poster le rapport VBG.TXT qui est sur le bureau

    Bonne chance
    Al.

    ( je quitte )hyvää iltaa
    0
    1. moK´s@ Messages postés 4410 Statut Membre 89
       
      afideg,

      merci pour toutes tes infos, j´ai fais une manip´mais j´ai peur que notre amie sarah ne la trouve un peut discornue, si tu voie ce que je veux dire...

      y a pas mal d´infection alors c´est dure de savoir par ou commencer...

      Kiitos

      @+
      0
  18. moK´s@ Messages postés 4410 Statut Membre 89
     
    sarah :

    a faire dans l´ordre :

    1

    telecharge

    Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    2

    regarde ceci et suie toute la procedure pour supprimer winantivirus pro 2007

    https://www.pcparadise.fr

    3
    Déconnecte toi d'Internet et ferme tout les programmes en cours.

    Redémarre en mode sans échec
    Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.
    (Si F8 ne marche pas, essai F5)

    Rend visible les fichiers cachés et système
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    Recherche et supprime ces dossiers:

    Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\Documents and Settings\Vincent Sarah\Application Data\Else plus
    C:\Program Files\Else plus
    C:\Documents and Settings\All Users\Application Data\Messenger Plus!
    C:\Program Files\Messenger Plus! Live
    C:\Program Files\MessengerPlus! 3
    C:\Program Files\Adverts

    4
    fais marcher clean up 4o.

    5
    redemarre en mode normal

    ouvre ton bloc note et copie l´integralité du texte ci dessous:

    ________________________

    REGEDIT4

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-

    _________________________

    enrregistre le doc sous le nom sarah.reg

    une fois le doc : sarah.reg cré double click dessus et accepte la fusion avec le registre.

    et

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    et repost un log hijackthis ,

    @+
    0
    1. moK´s@ Messages postés 4410 Statut Membre 89
       
      sarah,

      copie ceci pour le doc sarah .reg:

      (avec l´esapce a la fin aussi )

      ________________________
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
      "netbios-wait.com"=-
      "www.netbios-wait.com"=-
      "mysearchnow.com"=-
      "www.mysearchnow.com"=-
      _________________________
      0
    2. SARAH
       
      bonjour moK's,
      Tu vas penser que je suis un fardeau mais je préfère prendre mes précautions étend donné que je ne suis pas douée en informatique. L'étape 1 biensur c'est fait, pour l'étape 2 problème, je t'explique: lorsque j'applique la méthode donnée pour désinstaller WinAntivirus pro 2006 cela ne fonctionne pas: Lorsque je fais démarrer, executer et que je tape "msconfig"...ensuite on me demande de decocher WinAv dans l'onglet Démarrer mais il se trouv que WinAV n'y est pas. Ceci dit dans ajout/suppr de programmes il n'y a pas non plus WinAntivirus pro 2006 mais "Windows Live Sign-in Assistant" et quand je fais desinstaller il ne se désinstalle pas dnas la totalité et le message suivant s'affiche: The following applications should be closed before continuing the install, puis dans un cadre en dessous: "desinstaller WinAntivirus pro 2006-tutoriaux informatique-Articles-info du net-Windows Internet Explorer" puis en dessous je peux cliquer sur cancel retry ou ignore....voila.
      Dois-je suivre l'étape 3 qui s'intitule " suppression du programme en profondeur" de la page web? Si oui il demande a un moment de faire un scan avec Spybot mais je n'avais pa pu l'installer...
      merci d'avoir pris le temps de lire ceci et encore merci d'être là.
      0
    3. moK´s@ Messages postés 4410 Statut Membre 89 > SARAH
       
      salut sarah

      ne desinstale pas Windows Live Sign-in Assistant

      je te remet ici la suite des operations j´inclus winantivirus pro2007 dans la liste des fichiers a supprimer :

      3
      Déconnecte toi d'Internet et ferme tout les programmes en cours.

       Redémarre en mode sans échec
      Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
      Choisis le mode sans échec dans les options et valide avec entrée.
      (Si F8 ne marche pas, essai F5)

       Rend visible les fichiers cachés et système
      panneau de configuration > options des dossiers > onglet affichage
      Cocher la case devant " afficher les fichiers et dossiers cachés "
      Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
      Décocher la case devant " masquer les fichiers protégés du système"
      clic sur [Appliquer] puis sur [ok] pour valider


      Recherche et supprime ces dossiers:

      Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

      S'ils sont présents, supprime:

      C:\Documents and Settings\Vincent Sarah\Application Data\Else plus
      C:\Program Files\Else plus
      C:\Documents and Settings\All Users\Application Data\Messenger Plus!
      C:\Program Files\Messenger Plus! Live
      C:\Program Files\MessengerPlus! 3
      C:\Program Files\Adverts
      C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2007
      C:\Program Files\WinAntiVirus Pro 2007


      4
      fais marcher clean up 4o.

      5

      spybot

      spybot

      fais le marcher et supprime tout ce qu´il trouve...

      6
      redemarre en mode normal

      ouvre ton bloc note et copie l´integralité du texte ci dessous:

      (avec l´esapce a la fin aussi )

      ________________________
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
      "netbios-wait.com"=-
      "www.netbios-wait.com"=-
      "mysearchnow.com"=-
      "www.mysearchnow.com"=-
      _________________________

      enrregistre le doc sous le nom sarah.reg

      une fois le doc : sarah.reg cré double click dessus et accepte la fusion avec le registre.


      et

      Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
      http://www.atribune.org/ccount/click.php?id=4
      * Double-clique VundoFix.exe afin de le lancer
      * Clique sur le bouton Scan for Vundo
      * Lorsque le scan est complété, clique sur le bouton Remove Vundo
      * Une invite te demandera si tu veux supprimer les fichiers, clique YES
      * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
      * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
      * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

      Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

      et repost un log hijackthis ,

      @+
      0
    4. SARAH > moK´s@ Messages postés 4410 Statut Membre
       
      Salut moK' s@
      ok super merci je fais ce que tu me dit juste petite question (idiote pr toi...): qu'entend tu par: le chemin des fichiers infectés?? comment faire pour ne pas utiliser "rechercher?" merci beaucoup !!
      0
    5. moK´s@ Messages postés 4410 Statut Membre 89 > SARAH
       
      re,

      je t´ai mis le chemin de tous les fichiers a supprimer, c´est pas pour rien... ;-)

      @+
      0
  19. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Hic;
    Je crois que ceci ne passe pas :

    REGEDIT4
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-


    Et qu'il faut écrire ainsi :

    REGEDIT4

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "mysearchnow.com"=-
    "www.mysearchnow.com"=-


    kiitos
    0
    1. moK´s@ Messages postés 4410 Statut Membre 89
       
      hoc

      avec l´espace entre regedit4 et les lignes?!?!

      j´ai corrigé ;-)

      bonne soirée
      0
  20. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Avais-tu créé un point de restauration ?
    Si oui, restaure ton système à une date où ton PC allait bien .
    Ou bien "Si votre système plante, appuyez sur [F8] au démarrage et sélectionnez Dernière bonne configuration. La configuration fonctionnelle la plus récente sera restaurée."

    Al.
    0
  • 1
  • 2
  • 3