Rapport mauvais ?
Résolu/Fermé
Pancho
-
5 oct. 2007 à 22:46
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 4 juil. 2008 à 12:17
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 4 juil. 2008 à 12:17
166 réponses
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
4 juil. 2008 à 12:17
4 juil. 2008 à 12:17
--
mouvement de non entraide a suivre très prochainement...
mouvement de non entraide a suivre très prochainement...
Xg
Messages postés
168
Date d'inscription
jeudi 27 septembre 2007
Statut
Membre
Dernière intervention
16 avril 2008
42
5 oct. 2007 à 22:54
5 oct. 2007 à 22:54
Tu sais, il suffit d'aller sur http://www.hijackthis.de/fr !
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
5 oct. 2007 à 23:07
5 oct. 2007 à 23:07
Bonjour,
désolé Xg, mais ça ne suffit pas;
Pancho,
il faut que tu nous dises pourquoi ilo n'y a aucun anti-virus actif sur cet ordi
et pourquoi le SP2 n'est pas installé (ne l'installe pas).
Tu es très infecté et avec des problèmes ennuyeux (interdiction de modifier le regsitre par exemple).
1) relance hijackthis, choisis do a scan only
coche la case devant
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
ferme toutes les autres fenêtres et clique sur fix checked;
2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
3) Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
4) essaye de réinstaller un anti-virus.
tant que ce n'est pas<fait, limite au maximum la connection au net.
d'ailleurs, si tu as les moyens d'utiliser un autre ordi pour te connecter et une clé USB pour transférer les programmes et les fichiers, utilise les.
désolé Xg, mais ça ne suffit pas;
Pancho,
il faut que tu nous dises pourquoi ilo n'y a aucun anti-virus actif sur cet ordi
et pourquoi le SP2 n'est pas installé (ne l'installe pas).
Tu es très infecté et avec des problèmes ennuyeux (interdiction de modifier le regsitre par exemple).
1) relance hijackthis, choisis do a scan only
coche la case devant
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
ferme toutes les autres fenêtres et clique sur fix checked;
2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse
3) Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
4) essaye de réinstaller un anti-virus.
tant que ce n'est pas<fait, limite au maximum la connection au net.
d'ailleurs, si tu as les moyens d'utiliser un autre ordi pour te connecter et une clé USB pour transférer les programmes et les fichiers, utilise les.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
14 oct. 2007 à 21:22
14 oct. 2007 à 21:22
Bonsoir,
fais ça à la place de Vundofix
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
puis continue le reste de la procédure.
Réponds aussi à mes questions.
fais ça à la place de Vundofix
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
puis continue le reste de la procédure.
Réponds aussi à mes questions.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
14 oct. 2007 à 21:45
14 oct. 2007 à 21:45
Re,
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM32\aadcaad.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM32\aadcaad.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
14 oct. 2007 à 22:07
14 oct. 2007 à 22:07
Re,
essaye sur ce lien :
https://virusscan.jotti.org/
essaye sur ce lien :
https://virusscan.jotti.org/
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
14 oct. 2007 à 22:36
14 oct. 2007 à 22:36
Re,
pas de problème.
Par contre, j'ai raté ton post 11
Tu commenceras par ça :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
Ensuite, Télécharge Hoster
http://www.funkytoad.com/download/HostsXpert.zip
Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".
Reposte ensuite un rapport Hijackthis pour vérification
pas de problème.
Par contre, j'ai raté ton post 11
Tu commenceras par ça :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
Ensuite, Télécharge Hoster
http://www.funkytoad.com/download/HostsXpert.zip
Dézippe le sur le bureau.
Lance Hoster et clique sur "Restore Microsoft's Hosts File".
Reposte ensuite un rapport Hijackthis pour vérification
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
16 oct. 2007 à 22:32
16 oct. 2007 à 22:32
Bonsoir,
tu peux relancer smitfraudfix en mode normal, le mettre à jour, scanner (mode 1) et poster le rapport;
Ensuite, tu redémarres en mode sansn échec, relance smitfraudfix option 2, redémarre et remets un rapport SmitfraudFix et un nouveau rapport Hijackthis;
.
tu peux relancer smitfraudfix en mode normal, le mettre à jour, scanner (mode 1) et poster le rapport;
Ensuite, tu redémarres en mode sansn échec, relance smitfraudfix option 2, redémarre et remets un rapport SmitfraudFix et un nouveau rapport Hijackthis;
.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 nov. 2007 à 19:46
8 nov. 2007 à 19:46
Bonjour,
excuse, j'ai été trop rapide;
Ouvre C:\WINDOWS\system32\tmp.reg avec le Bloc-notes et copie/colle le contenu dans ta réponse.
excuse, j'ai été trop rapide;
Ouvre C:\WINDOWS\system32\tmp.reg avec le Bloc-notes et copie/colle le contenu dans ta réponse.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 00:51
7 déc. 2007 à 00:51
Bonsoir,
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\1033v.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\1033v.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 01:04
7 déc. 2007 à 01:04
Re,
ouvre l'explorateur windows. Cherches le fichier.
Clic droit et propriétés;
Quelle taille ?
ouvre l'explorateur windows. Cherches le fichier.
Clic droit et propriétés;
Quelle taille ?
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 01:07
7 déc. 2007 à 01:07
Re,
clic droit sur démarrer,
explorer
clic droit sur démarrer,
explorer
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 01:19
7 déc. 2007 à 01:19
Re,
ce n'est pas un dossier mais un fichier.
fais ça avant :
========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
========================================
ce n'est pas un dossier mais un fichier.
fais ça avant :
========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
[Coche] « afficher les dossiers et fichiers cachés »
[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
[Décoche] « masquer les extensions dont le type est connu »
Puis fais [appliquer] pour valider les changements.
Et [Ok]
========================================
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 01:43
7 déc. 2007 à 01:43
Re,
essaye avec celui là :
Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799
Je verrai ça au jour demain
essaye avec celui là :
Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799
Je verrai ça au jour demain
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 08:05
7 déc. 2007 à 08:05
Bonjour,
fais un scan complet de ton ordi avec antivir.
Poste le rapport.
supprime le combofix qui est sur ton bureau.
télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
fais un scan complet de ton ordi avec antivir.
Poste le rapport.
supprime le combofix qui est sur ton bureau.
télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 22:20
7 déc. 2007 à 22:20
Bonsoir,
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\WS2Fix.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\WS2Fix.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
7 déc. 2007 à 23:50
7 déc. 2007 à 23:50
re,
on va continuer.
lais c'est très désagréable pour nous.
je crois que vious ne vous rendez pas compte du temps qu'il peut y avoir sur une manip.
Bien sur, il y a des moments où on est sur des évidences et des procédures bien connues.
mais pour ton topic, on est trois à avoir séché sur le fichier qui ne veut pas se supprimer.
Et la, je peux te dire qu'il faut sacrément chercher.
on va continuer.
lais c'est très désagréable pour nous.
je crois que vious ne vous rendez pas compte du temps qu'il peut y avoir sur une manip.
Bien sur, il y a des moments où on est sur des évidences et des procédures bien connues.
mais pour ton topic, on est trois à avoir séché sur le fichier qui ne veut pas se supprimer.
Et la, je peux te dire qu'il faut sacrément chercher.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2007 à 00:46
8 déc. 2007 à 00:46
Re,
peut être que la syntèse des infos va nous faire gagner du temps.
on va essayer comme ça :
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
catch::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
File::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
peut être que la syntèse des infos va nous faire gagner du temps.
on va essayer comme ça :
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
catch::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
File::
C:\WINDOWS\system32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2007 à 12:31
8 déc. 2007 à 12:31
Bonjour,
je suis sûr de la syntaxe et du mode d'emploi.
J'ai repris d'ici qui me parait fiable (le site, l'aideur et le résultat) :
https://forums.majorgeeks.com/threads/help-trojan-win32-bho-yr.144062/ post 12
Il manque peut être la suppression d'une clé de registre (j(aurais mierux fait d'aller dormir et de travailler aprèsd une nuit de repos).
Il est possible que certaines instructions soient inutiles, en particulier sur la partie drivers. Je suis pratiquement sûr que c'est nécessaire pour C:\WINDOWS\system32\drivers\miqvzwcl.dat , moins pour les 2 autres.
Un des intérêts du topic est bien d'avoir un BHO protégé par un drivers \drivers\xxxxx.dat.
La référence du post de g!rly donne une procédure (de FillPCA) qui fonctionne. Son "inconvénient" est de mobiliser 2 outils que l'on trouve rarement dans les désinfections françaises. Si le script Combofix est efficace, on a une procédure plus simple et qui ne devrait pas nécessiter d'outils suplémentaires (je suis presque sur que combofix sera utilisé dans ces posts).
_-
@+
N'acceptez jamais une désinfection par mp.
je suis sûr de la syntaxe et du mode d'emploi.
J'ai repris d'ici qui me parait fiable (le site, l'aideur et le résultat) :
https://forums.majorgeeks.com/threads/help-trojan-win32-bho-yr.144062/ post 12
Il manque peut être la suppression d'une clé de registre (j(aurais mierux fait d'aller dormir et de travailler aprèsd une nuit de repos).
Il est possible que certaines instructions soient inutiles, en particulier sur la partie drivers. Je suis pratiquement sûr que c'est nécessaire pour C:\WINDOWS\system32\drivers\miqvzwcl.dat , moins pour les 2 autres.
Un des intérêts du topic est bien d'avoir un BHO protégé par un drivers \drivers\xxxxx.dat.
La référence du post de g!rly donne une procédure (de FillPCA) qui fonctionne. Son "inconvénient" est de mobiliser 2 outils que l'on trouve rarement dans les désinfections françaises. Si le script Combofix est efficace, on a une procédure plus simple et qui ne devrait pas nécessiter d'outils suplémentaires (je suis presque sur que combofix sera utilisé dans ces posts).
_-
@+
N'acceptez jamais une désinfection par mp.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
8 déc. 2007 à 22:18
8 déc. 2007 à 22:18
Bonsoir,
j'espère que c'est toi qui ne va pas laisser tomber lol.
Après discussion entre nous, je vais modifier ce qu'il y a à faire en reprenant la proposition de g!irly
Au lieu du post 105, tu fais ça :
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
nvrfhgrt
File::
C:\WINDOWS\System32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
C:\WINDOWS\system32\M1000Rmv.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
"M1000Mnt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoWindowsUpdate"=0
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
La manip initiale n'aurait pas causé de problèmes à ton ordi. Elle aurait été moins efficace.
j'espère que c'est toi qui ne va pas laisser tomber lol.
Après discussion entre nous, je vais modifier ce qu'il y a à faire en reprenant la proposition de g!irly
Au lieu du post 105, tu fais ça :
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
nvrfhgrt
File::
C:\WINDOWS\System32\drivers\miqvzwcl.dat
C:\WINDOWS\system32\aadcaad.dll
C:\WINDOWS\system32\1033v.exe
C:\WINDOWS\system32\M1000Rmv.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91AD9DC2-523A-47E2-A598-6C277F16CC50}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateWin"=-
"M1000Mnt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UpdateWin"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoWindowsUpdate"=0
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
La manip initiale n'aurait pas causé de problèmes à ton ordi. Elle aurait été moins efficace.