Infecte au secour!!!

cecile93100 Messages postés 11 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,depuis plusieurs jours des fenetres intempestives s ouvrent sans cesse avec des publiciter pour adultes et mon ordinateur rame j ai besoin d aide urgent s il vous plait j ai des enfants merci de votre reponse
Configuration: Windows XP
Internet Explorer 6.0

16 réponses

  1. Info Man Messages postés 249 Statut Membre 141
     
    un anti-spyware (ad-aware, spybot, et cie) ? est-il à jour ?
    0
  2. cecile93100 Messages postés 11 Statut Membre
     
    merci d avoir repondu si vite oui tout est a jour j ai avast comme anti virus et ad aware personnal
    0
  3. cecile93100 Messages postés 11 Statut Membre
     
    personne pour m aide!!!!!!!s il vous plait
    0
  4. cecile93100 Messages postés 11 Statut Membre
     
    toujours personne pour m aider?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. rafmos Messages postés 181 Date d'inscription   Statut Membre Dernière intervention   24
     
    J'ai aussi déjà eut ça. Et en fait, c'était quand j'ai fait un truc sur msn, il me semble, j'ai activé de la pub ! Peut-être c'est ça !
    0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    poste un rapport hjack this
    et aussi celui ci
    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Clique sur navilog1.zip pour télécharger navilog1
    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le bloc note.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    0
  8. cecile93100 Messages postés 11 Statut Membre
     
    ok je ferait ca demain ver 16h30 merci de nous aidez
    0
  9. cecile93100 Messages postés 11 Statut Membre
     
    je sui entrain de faire la scan navilog je vous poste ca dici 10 minutes
    0
  10. cecile93100 Messages postés 11 Statut Membre
     
    voila le rapport
    Search Navipromo version 3.4.2 commencé le 23/01/2008 à 17:10:42,89

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    WebMediaPlayer

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\WebMediaPlayer trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\local settings\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    ...\WebMediaPlayer trouvé !

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja.dat
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja.exe
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja_nav.dat
    C:\Documents and Settings\Administrateur\Local Settings\Application Data\daqjja_navps.dat

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\Administrateur\local settings\application data" *

    Fichiers trouvés :

    daqjja.exe trouvé !

    *** Recherche fichiers ***

    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\Administrateur\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    4)Recherche fichiers connus :

    *** Analyse terminée le 23/01/2008 à 17:16:07,95 ***
    0
  11. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc note. Ton bureau va réapparaître

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau.
    Démarrer > Panneau de configuration > Options Internet
    Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    > Supprime-les

    poste le rapport obtenu et un rapport hijack this
    0
  12. cecile93100 Messages postés 11 Statut Membre
     
    ok je fait ca de suite
    merci de m aider
    0
  13. cecile93100 Messages postés 11 Statut Membre
     
    Search Navipromo version 3.4.2 commencé le 23/01/2008 à 19:12:58,00

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\local settings\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\Administrateur\local settings\application data" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\Administrateur\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 23/01/2008 à 19:15:49,40 ***
    0
  14. cecile93100 Messages postés 11 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:21:18, on 23/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Documents and Settings\Administrateur\Application Data\WinButler\WinButler.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Application Data\Microsoft\Windows\hudpsv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\devldr32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.297\HijackThis.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Delete Phone Bird Five] C:\Documents and Settings\All Users\Application Data\wave boob delete phone\jump web.exe
    O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\Administrateur\Application Data\WinButler\WinButler.exe
    O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\Administrateur\Application Data\Microsoft\Windows\hudpsv.exe
    O4 - HKCU\..\Run: [globalwarn] C:\DOCUME~1\ADMINI~1\APPLIC~1\ERRORM~1\balm else.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
    O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O24 - Desktop Component 0: (no name) - http://estc.msn.com/br/hp/fr-fr/css/i/new.gif
    0
  15. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge LopXPMH sur ton Bureau.
    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le et double clique sur le fichier lopxpMH.bat.
    Poste le contenu du rapport qui va s'ouvrir.

    0
  16. cecile93100 Messages postés 11 Statut Membre
     
    Rapport lopxpMH2 version 2.0 fait à 20:08:46,89 le 23/01/2008
    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\YFMFE5IN

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\Administrateur\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    19/10/2007 18:54 <REP> ACD Systems
    17/10/2007 18:23 <REP> Adobe
    23/01/2008 18:51 <REP> Auslogics
    08/01/2008 19:46 <REP> dvdcss
    02/01/2008 21:53 <REP> errormpeg
    31/10/2007 23:43 <REP> Google
    08/11/2007 20:14 <REP> Help
    17/10/2007 18:13 <REP> Identities
    03/01/2008 14:23 <REP> Lavasoft
    15/11/2007 11:32 <REP> Leadertech
    08/11/2007 18:45 <REP> Macromedia
    17/10/2007 18:12 <REP> Microsoft
    28/11/2007 12:57 <REP> SecuROM
    18/11/2007 01:25 <REP> Shareaza
    15/11/2007 23:32 <REP> vlc
    08/12/2007 20:09 <REP> WinButler
    17/10/2007 18:12 62 desktop.ini
    1 fichier(s) 62 octets
    18 Rép(s) 3 948 027 904 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    08/11/2007 20:11 <REP> Adobe
    29/10/2007 00:05 <REP> Google
    08/11/2007 20:14 <REP> Help
    17/10/2007 18:12 <REP> Microsoft
    18/11/2007 01:25 <REP> Shareaza
    23/10/2007 19:08 6 144 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    07/11/2007 14:23 22 760 GDIPFONTCACHEV1.DAT
    17/10/2007 18:25 8 030 328 IconCache.db
    3 fichier(s) 8 059 232 octets
    7 Rép(s) 3 948 027 904 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\All Users\Application Data

    17/10/2007 19:53 <REP> .
    17/10/2007 19:53 <REP> ..
    17/10/2007 18:34 <REP> ACD Systems
    08/11/2007 20:08 <REP> Adobe
    22/01/2008 22:02 <REP> Autodata Limited
    08/11/2007 19:15 <REP> Google
    23/01/2008 19:02 <REP> Kaspersky Lab
    02/01/2008 23:37 <REP> Messenger Plus!
    17/10/2007 19:53 <REP> Microsoft
    18/01/2008 22:29 <REP> Spybot - Search & Destroy
    02/01/2008 21:53 <REP> wave boob delete phone
    17/10/2007 19:56 62 desktop.ini
    1 fichier(s) 62 octets
    11 Rép(s) 3 948 027 904 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\Default User\Application Data

    17/10/2007 19:54 <REP> .
    17/10/2007 19:54 <REP> ..
    17/10/2007 19:54 <REP> Microsoft
    17/10/2007 19:56 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 3 948 027 904 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    17/10/2007 19:56 <REP> .
    17/10/2007 19:56 <REP> ..
    17/10/2007 18:08 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 027 904 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\LocalService\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    17/10/2007 18:12 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 023 808 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    17/10/2007 18:12 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 023 808 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\NetworkService\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    17/10/2007 18:12 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 023 808 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    17/10/2007 18:12 <REP> .
    17/10/2007 18:12 <REP> ..
    17/10/2007 18:12 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 023 808 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    17/10/2007 18:10 <REP> .
    17/10/2007 18:10 <REP> ..
    17/10/2007 18:10 <REP> Microsoft
    17/10/2007 18:10 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 3 948 023 808 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    17/10/2007 18:10 <REP> .
    17/10/2007 18:10 <REP> ..
    17/10/2007 18:10 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 3 948 023 808 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    C:\WINDOWS\Tasks\A0BE23B39185A28B.job
    ¥Ì,±/xûC¿&ºA™*F î <
    s "€!Ø : c : \ d o c u m e ~ 1 \ a d m i n i ~ 1 \ a p p l i c ~ 1 \ e r r o r m ~ 1 \ S e c t P l a n I d o l . e x e A d m i n i s t r a t e u r 0 Ñ   <
    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est FC5F-9F8A

    Répertoire de C:\Program Files

    23/01/2008 19:39 <REP> .
    23/01/2008 19:39 <REP> ..
    17/10/2007 19:00 <REP> AC3Filter
    17/10/2007 18:34 <REP> ACD Systems
    10/01/2008 19:32 <REP> Adobe
    17/10/2007 19:07 <REP> Alwil Software
    23/01/2008 18:51 <REP> AusLogics Disk Defrag
    18/01/2008 23:21 <REP> Circle Developement
    17/10/2007 18:03 <REP> ComPlus Applications
    02/12/2007 15:42 <REP> Digital-Jesters
    17/10/2007 18:30 <REP> directx
    17/10/2007 19:00 <REP> DivX
    17/10/2007 19:00 <REP> DivX_311alpha
    04/11/2007 19:43 <REP> DivXCodec
    02/12/2007 15:44 <REP> DK
    19/01/2008 13:51 <REP> EPSON
    14/01/2008 19:58 <REP> errormpeg
    22/01/2008 21:54 <REP> Fichiers communs
    24/10/2007 18:55 <REP> GameShadow
    18/01/2008 22:56 <REP> Google
    22/12/2007 14:25 <REP> InterActive Vision
    17/10/2007 18:06 <REP> Internet Explorer
    23/01/2008 19:39 <REP> Kaspersky Lab
    11/11/2007 17:46 <REP> K-Lite Codec Pack
    03/01/2008 14:23 <REP> Lavasoft
    11/11/2007 10:53 <REP> Livre Album Fuji Photo
    02/01/2008 21:52 <REP> Messenger Plus! Live
    17/10/2007 18:48 <REP> Microsoft Office
    17/10/2007 18:48 <REP> Microsoft Visual Studio
    17/10/2007 18:05 <REP> Movie Maker
    17/10/2007 18:02 <REP> MSN Gaming Zone
    02/01/2008 21:52 <REP> MSN Messenger
    23/01/2008 19:48 <REP> Navilog1
    17/10/2007 18:05 <REP> NetMeeting
    22/12/2007 13:57 <REP> NovaLogic
    17/10/2007 18:05 <REP> Outlook Express
    18/01/2008 23:08 <REP> Power Defrag
    17/10/2007 18:06 <REP> Services en ligne
    18/11/2007 01:33 <REP> Shareaza
    03/01/2008 15:15 <REP> Spyware Doctor
    22/12/2007 13:55 <REP> Ubisoft
    23/12/2007 10:44 <REP> ValuSoft
    22/11/2007 21:33 <REP> VideoLAN
    02/01/2008 21:52 <REP> Windows Live
    17/10/2007 18:08 <REP> Windows Media Player
    17/10/2007 18:02 <REP> Windows NT
    03/12/2007 20:49 <REP> WinRAR
    17/10/2007 18:38 <REP> XviD
    19/01/2008 15:18 <REP> Yahoo!
    29/12/2007 18:36 <REP> Your Company Name
    0 fichier(s) 0 octets
    50 Rép(s) 3 948 019 712 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    host-domain-lookup.com REG_SZ
    www.host-domain-lookup.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ******************************************
    ## Registre

    * [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
    Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Delete Phone Bird Five REG_SZ C:\Documents and Settings\All Users\Application Data\wave boob delete phone\jump web.exe

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    globalwarn REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\ERRORM~1\balm else.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  17. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    / Ouvre le dossier lopxpMH2, double-clique sur le fichier "OuvreScript.bat" : le fichier lop.bfu s'ouvre alors. Colle dans ce fichier tout le contenu de la citation suivante :

    RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}
    
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Delete Phone Bird Five
    RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|globalwarn
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|host-domain-lookup.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.host-domain-lookup.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|searchweb2.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|mysearchnow.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.mysearchnow.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.searchweb2.com
    RegDelValue HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow|www.searchweb2.com
    
    FolderDelete %ALLUSERSAPPDATA%\wave boob delete phone
    FolderDelete %APPDATA%\errormpeg 
    
    FolderDelete %PROGRAMFILES%\errormpeg
    FolderDelete %PROGRAMFILES%\#
    
    FileDelete %WINDIR%\Tasks\A0BE23B39185A28B.job
    
    SystemEmptyTempFolder
    SystemEmptyInternetCache
    SystemEmptyRecycleBin


    Ferme ensuite le fichier lop.bfu.

    / Toujours dans le dossier lopxpMH2, double-clique sur le raccourci "BFU.zip", le téléchargement du programme est proposé, accepte puis décompresse-le.

    *** Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur ***

    / Démarre le "Brute Force Uninstaller" en double-cliquant sur le fichier BFU.exe BFU. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et indique-lui le chemin du fichier lop.bfu qui se trouve dans ton dossier lopxpMH2, sur ton bureau
    Ceci étant fait, clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaisse et clique sur OK. Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    redémarre normalement et poste un raport lopxmpmh et un rapport hijack this

    0