Les cafards

Résolu
sego44 Messages postés 113 Statut Membre -  
 gen-hackman -
Bonjour,
virus cafards besoin d'aide merci
Configuration: Windows XP
Firefox 2.0.0.14

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un problème de malware est signalé sur une configuration Windows XP avec Firefox 2.0.0.14, nécessitant une désinfection complète et une élimination des traces de programmes indésirables. Des solutions proposées incluent l’exécution en mode sans échec, puis l’usage de NAVILOG option 2 et de MBAM pour supprimer les malwares, suivis d’un nettoyage des fichiers en quarantaine. D’autres étapes suggèrent VundoFix, AVG Anti-Spyware et des analyses détaillées via HijackThis pour identifier les entrées suspectes et générer des rapports à partager, avec évacuation des éléments dangereux. Par ailleurs, il est recommandé de sauvegarder systématiquement les rapports et logs MBAM, VundoFix et HijackThis pour suivre l’évolution et faciliter les actions futures sans conclure prématurément.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Re !

    Juste une petite intrusion... amicale...

    Il est truffé de saletés ce rapport......

    A tu demandé l'option deux de NAVILOG ??

    Rapport MBAM => No action taken.
    Normalement, il nettoie efficacement vundo et autres... ( sauf pour le navipromo )

    Donc :

    1) Lancer navilog

    * Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    * Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    * Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc-notes va s'ouvrir.
    * Sauvegarde le rapport de manière à le retrouver
    * Referme le bloc-notes. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Poste le rapport ici.

    * Ferme internet explorer puis Démarrer/panneau de configuration/options internet
    - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :

    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"


    Tu les supprimes.
    =====================================
    MBAM n'a pas besoin de se lancer en mse...

    Ceci s'aplique lorsque tu veux supprimer un fichier malsaint manuellement !
    Pourquoi en mode sans échec:

    *Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal.
    *Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc il faut le faire en mode sans échec .


    2) Refaire MBAM en mode normal !!!

    * Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    * Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression <== A FAIRE ABSOLUMENT (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    Ferme MBAM en cliquant sur Quitter.

    Poste le rapport dans ta réponse

    @+

    1
    1. sego44 Messages postés 113 Statut Membre
       
      c'est gentil de m'aider mais je n'y comprend rien je n'ai pas navilog sur mon bureau

      j'ai spybot
      hijack
      malwarebyte's
      mbam-log-5-21 txt
      0
      1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280 > sego44 Messages postés 113 Statut Membre
         
        Re sego

        Le mode d'emploi :

        1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

        2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

        https://www.malwarebytes.com/

        3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

        4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

        5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

        6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

        7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

        8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

        9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

        10) Si des malwares ont été détectés, leur liste s'affiche.
        En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

        11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

        12) Ferme MBAM en cliquant sur Quitter.

        13) Poste le rapport dans ta réponse
        0
    2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Merci Jorje

      Au moins tu approuves parfois mes certaines ......heu !!!!!!!!!!!!!

      )))))
      0
  2. lola
     
    voici le rapport fixnavi
    je dois faire quoi ensuite?? Merci d'avance

    earch Navipromo version 3.5.7 commencé le 20/05/2008 à 12:47:48,10

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Anne"

    Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.11
    Système de fichiers : FAT32

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\menud+~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\WINDOWS\system32\vuypjt.exe 360448 bytes
    C:\WINDOWS\system32\vuypjt.dat 32768 bytes
    C:\WINDOWS\system32\vuypjt_navps.dat 32768 bytes
    C:\WINDOWS\system32\vuypjt_navup.dat 458752 bytes
    C:\WINDOWS\system32\vuypjt_nav.dat 393216 bytes

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\Anne\locals~1\applic~1" *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    vuypjt.dat trouvé !

    * Dans "C:\Documents and Settings\Anne\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\TuvDdccf.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

    *** Analyse terminée le 20/05/2008 à 12:50:09,64 ***
    0
    1. sego44 Messages postés 113 Statut Membre
       
      dslée je ne peux pa t'aider j'attends de l'aide car je n'y comprends rien
      0
  3. gen-hackman
     
    salut ...pour sego44 :

    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/34490.html

    Voici ci-dessous une procédure complète pour s'en débarrasser :
    1. Avant toute chose installer un pare-feu personnel du type ZoneAlarm ou Sunbelt Personal Firewall pour fermer la porte aux intrus sur l'ordinateur.
    2. Désactiver le service d'affichage des messages en ouvrant le panneau de configuration et en choisissant "Outils d'administration" (dans certains cas il sera nécessaire de cliquer sur "Basculer vers l'affichage classique" pour faire apparaître cet item). Cliquer sur "Services" puis double-cliquer sur "Affichage des messages" et enfin choisir à type de démarrage "Désactivé".
    3. Désactiver la restauration système en cliquant avec le bouton droit sur le Poste de travail et en choisissant Propriétés. Dans l'onglet Restauration du système cocher "Désactiver la restauration du système sur tous les lecteurs". Cliquer sur OK pour confirmer.
    4.Télécharger Smitfraudfix par S!RI :
    Décompresser l'archive
    Exécuter le en double cliquant sur Smitfraudfix.cmd
    Appuyer sur une touche pour continuer
    Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
    Au menu, choisir l’option 1 : Recherche
    Poster le rapport ainsi généré dans le forum Virus/Sécurité (ou le cas échéant à la suite de votre message) :
    5. Redémarrer en mode sans échec
    Attention, la suite de la procédure doit être réalisée en mode sans échec sans prise en charge du réseau, il est donc nécessaire de noter ou imprimer les opérations suivantes.
    Pour démarrer l'ordinateur en mode sans échec, il suffit d'appuyer à intervalles courts sur la touche F8 au démarrage de l'ordinateur jusqu'à l'affichage du menu (ou F5 si F8 ne fonctionne pas), puis de choisir "Mode sans échec". NB: ce mode est particulièrement laid visuellement mais permet de charger un nombre restreint de processus en mémoire.
    6. Désinfection
    Lancer SmitfraudFix et choisir l’option 2 en répondant OUI (o) à la question qui vous sera posé
    7. Redémarrer en mode normal :
    Après avoir redémarré Windows normalement, relancer SmitfraudFix et choisir l'option 1, puis poster le rapport ainsi généré dans le forum, à la suite du précédent message. Un utilisateur averti vous indiquera sûrement rapidement si l'ordinateur est complètement désinfecté !
    8. Réactiver la restauration du système en cochant à nouveau la case décochée à l'étape 3.

    ensuite :

    Fais une analyse par HijackThis, comme ceci:

    1)- Avec connexion au Net en service,
    Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/ > avec un installeur. Sur la page, choisis « Download HijackThis Installer » et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

    2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche.
    - Ensuite, clic sur « Exécuter », puis sur « Install ».
    - Accepte la licence en cliquant sur le bouton "I Accept"
    - Le programme s’installe de lui-même dans un dossier dédié.
    - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
    - Et un raccourci pour lancer l’analyse apparaît sur le bureau.

    Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés > Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas .
    - Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel.

    3)Analyse :
    •-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
    - Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

    •-Arrête tous les programmes en cours et ferme toutes les fenêtres.
    •- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
    - À la fin du scan le bloc-notes va s'ouvrir sur le bureau
    - Tu fais un copier/coller de tout son contenu.
    - Et tu le postes sur le forum.
    - Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.
    0
    1. sego44 Messages postés 113 Statut Membre
       
      MERCIIIIIIIIIIIIIIIIIIIIIIII t tro sympa dvenir a mon secour
      0
  4. gen-hackman
     
    bien j attends les rapports
    0
    1. sego44 Messages postés 113 Statut Membre
       
      rdv ce soir 20h, je vais travailler. merci encore
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sego44 Messages postés 113 Statut Membre
     
    ah et di moi aussi cmt env un rapport je ne sais pas, je suis née blonde faut me comprendre lol
    0
  7. gen-hackman
     
    no souci tu fais copier coller sur le texte qui apparait a la fin des scans
    0
    1. sego44 Messages postés 113 Statut Membre
       
      re salut tu es la?
      0
    2. sego44 Messages postés 113 Statut Membre
       
      gen hackman t"es la?
      0
  8. gen-hackman
     
    oui j ai des soucis avec internet mais je suis la
    0
    1. sego44 Messages postés 113 Statut Membre
       
      moi aussi c'était la galère. trop contente de te revoir
      0
    2. sego44 Messages postés 113 Statut Membre
       
      ouf
      0
    3. sego44 Messages postés 113 Statut Membre
       
      je n'arrive pas a installer le pare feu je comprends pas trop quand ça parle pas français lol c'est grave si j'ai pare feu windows?
      0
    4. sego44 Messages postés 113 Statut Membre
       
      écoute je vais suivre tes instructions a la lettre et je te donne rdv demain soir pour voir le résultat. merci pour ton aide précieuse à demain bonne soiree
      0
  9. gen-hackman
     
    ben...c est un peu une passoire qu'y a t il que tu ne comprennes pas?
    tu ne comprends pas l anglais du tout ou........;
    0
  10. gen-hackman
     
    http://astuces.microcoms.net/securite/firewall/01.html

    tiens apparemment celui la est en francais
    0
    1. sego44 Messages postés 113 Statut Membre
       
      je viens de m'apercevoir que si je veux lire tes réponses je suis obligée d'écrire quelque chose avant, c bizarre merci pour le lien
      0
    2. sego44 Messages postés 113 Statut Membre
       
      voici le rapport de hijackthis par contre j'ai télécharger smitfraudfix mais je ne le retrouve pas dans mon ordi. merci pour le lien du pare feu j'ai réussi.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 21:25:51, on 20/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
      R3 - URLSearchHook: (no name) - _{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
      O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
      O2 - BHO: (no name) - {264A3F10-3F14-46E1-ABD4-BCC9AD69D088} - C:\WINDOWS\system32\geebb.dll (file missing)
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: (no name) - {579FB9F0-C1DA-4F1D-8B4B-EE796D812521} - C:\WINDOWS\system32\ssttt.dll (file missing)
      O2 - BHO: (no name) - {5FE414D9-967E-4CB8-8678-242A02952CE1} - C:\WINDOWS\system32\gebya.dll (file missing)
      O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: (no name) - {8F416ADA-3885-4921-8DA4-3EDB5B233048} - C:\WINDOWS\system32\jkklk.dll (file missing)
      O2 - BHO: (no name) - {9AF73E3A-54F6-485C-BA9D-3E088087299E} - C:\WINDOWS\system32\awvvu.dll (file missing)
      O2 - BHO: (no name) - {ADA4AB54-F034-41A4-9A68-95DF06976B68} - C:\WINDOWS\system32\rqrqqom.dll (file missing)
      O2 - BHO: (no name) - {B3036D15-D1F0-EC5D-DF7B-8CADAFE228C2} - (no file)
      O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
      O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
      O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
      O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
      O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
      O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
      O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [fkvoa] c:\documents and settings\paulprey\local settings\application data\fkvoa.exe fkvoa
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
      O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
      O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
      O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\paulprey\Application Data\MP3Chansons.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...
      O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
      O16 - DPF: {BB224188-52BA-4006-9429-2C7E47EA975B} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1066_em_XP.cab
      O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - https://www.afternic.com/domains/errorsafe.com
      O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
      O20 - Winlogon Notify: rqrqqom - rqrqqom.dll (file missing)
      O21 - SSODL: adWSjYPOq - {08A8C847-A202-62ED-049E-D83E4DEA66F5} - C:\WINDOWS\system32\sps.dll (file missing)
      O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
      O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      0
  11. gen-hackman
     
    refais un hijack et coches ces lignes et utilise "fix checked" :

    O2 - BHO: (no name) - {264A3F10-3F14-46E1-ABD4-BCC9AD69D088} - C:\WINDOWS\system32\geebb.dll (file missing)
    O2 - BHO: (no name) - {579FB9F0-C1DA-4F1D-8B4B-EE796D812521} - C:\WINDOWS\system32\ssttt.dll (file missing)
    O2 - BHO: (no name) - {5FE414D9-967E-4CB8-8678-242A02952CE1} - C:\WINDOWS\system32\gebya.dll (file missing)
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {8F416ADA-3885-4921-8DA4-3EDB5B233048} - C:\WINDOWS\system32\jkklk.dll (file missing)
    O2 - BHO: (no name) - {9AF73E3A-54F6-485C-BA9D-3E088087299E} - C:\WINDOWS\system32\awvvu.dll (file missing)
    O2 - BHO: (no name) - {ADA4AB54-F034-41A4-9A68-95DF06976B68} - C:\WINDOWS\system32\rqrqqom.dll (file missing)
    O2 - BHO: (no name) - {B3036D15-D1F0-EC5D-DF7B-8CADAFE228C2} - (no file)
    O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
    O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\paulprey\Application Data\MP3Chansons.exe (file missing)
    O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
    O20 - Winlogon Notify: rqrqqom - rqrqqom.dll (file missing)
    O21 - SSODL: adWSjYPOq - {08A8C847-A202-62ED-049E-D83E4DEA66F5} - C:\WINDOWS\system32\sps.dll (file missing)
    O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)

    _______________________________________________________________________________
    ensuite :

    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/34490.html

    Voici ci-dessous une procédure complète pour s'en débarrasser :
    1. Avant toute chose installer un pare-feu personnel du type ZoneAlarm ou Sunbelt Personal Firewall pour fermer la porte aux intrus sur l'ordinateur.
    2. Désactiver le service d'affichage des messages en ouvrant le panneau de configuration et en choisissant "Outils d'administration" (dans certains cas il sera nécessaire de cliquer sur "Basculer vers l'affichage classique" pour faire apparaître cet item). Cliquer sur "Services" puis double-cliquer sur "Affichage des messages" et enfin choisir à type de démarrage "Désactivé".
    3. Désactiver la restauration système en cliquant avec le bouton droit sur le Poste de travail et en choisissant Propriétés. Dans l'onglet Restauration du système cocher "Désactiver la restauration du système sur tous les lecteurs". Cliquer sur OK pour confirmer.
    4.Télécharger Smitfraudfix par S!RI :
    Décompresser l'archive
    Exécuter le en double cliquant sur Smitfraudfix.cmd
    Appuyer sur une touche pour continuer
    Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
    Au menu, choisir l’option 1 : Recherche
    Poster le rapport ainsi généré dans le forum Virus/Sécurité (ou le cas échéant à la suite de votre message) :
    5. Redémarrer en mode sans échec
    Attention, la suite de la procédure doit être réalisée en mode sans échec sans prise en charge du réseau, il est donc nécessaire de noter ou imprimer les opérations suivantes.
    Pour démarrer l'ordinateur en mode sans échec, il suffit d'appuyer à intervalles courts sur la touche F8 au démarrage de l'ordinateur jusqu'à l'affichage du menu (ou F5 si F8 ne fonctionne pas), puis de choisir "Mode sans échec". NB: ce mode est particulièrement laid visuellement mais permet de charger un nombre restreint de processus en mémoire.
    6. Désinfection
    Lancer SmitfraudFix et choisir l’option 2 en répondant OUI (o) à la question qui vous sera posé
    7. Redémarrer en mode normal :
    Après avoir redémarré Windows normalement, relancer SmitfraudFix et choisir l'option 1, puis poster le rapport ainsi généré dans le forum, à la suite du précédent message. Un utilisateur averti vous indiquera sûrement rapidement si l'ordinateur est complètement désinfecté !
    8. Réactiver la restauration du système en cochant à nouveau la case décochée à l'étape 3.

    colle un raport,

    et enfin :

    1) Télécharge et installe Malwarebyte's Anti-Malware:

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK

    Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

    Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

    Laisse les Mises à jour se télécharger

    *** Referme le programme ***

    2) Redémarre en "Mode sans échec"

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
    Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) Scan avec Malwarebyte's Anti-Malware

    Lance Malwarebyte's Anti-Malware
    Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
    A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
    Suppression des éléments détectés >>>> clique sur Supprimer la sélection
    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    --> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.

    quand tu demande une analyse, demande en mode sans échec.

    Pourquoi en mode sans échec:

    *Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal.
    *Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc ils faut le faire en mode sans échec .

    voila bon travail
    0
    1. sego44 Messages postés 113 Statut Membre
       
      c'est la prise de tete mais je vais y arriver j'espère. la galère est que je n'ai pas d'imprimante donc j'écris tout, vois la perte de temps. merci pour ton aide
      0
  12. gen-hackman
     
    dis toi que c est pour les cafards.....lol
    0
    1. sego44 Messages postés 113 Statut Membre
       
      euh encore probleme mon antivirus n'accepte pas smitfraudfix sinon mon copain a eut une très bne idée, j'ai filmé la page ça va plus vite
      0
    2. sego44 Messages postés 113 Statut Membre
       
      .
      0
    3. sego44 Messages postés 113 Statut Membre
       
      Tu es tjs là?
      0
  13. gen-hackman
     
    toute facon pendant la desinfection il vaut mieux couper les protections
    0
    1. sego44 Messages postés 113 Statut Membre
       
      VOICI LE RAPPORT SMITFRAUDFIX



      SmitFraudFix v2.320

      Rapport fait à 12:56:11,35, 21/05/2008
      Executé à partir de C:\Documents and Settings\paulprey\Mes documents\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\paulprey


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\paulprey\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\paulprey\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Broadcom 802.11b/g WLAN - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  14. gen-hackman
     
    oui attendons la suite
    0
    1. sego44 Messages postés 113 Statut Membre
       
      tu es là 24H/24?? j'ai redémarrer en mode ss échec, fais le nettoyage et redemarrer en mode normal. voici le nvo rapport

      SmitFraudFix v2.320

      Rapport fait à 13:12:39,18, 21/05/2008
      Executé à partir de C:\Documents and Settings\paulprey\Mes documents\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\paulprey


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\paulprey\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\paulprey\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Broadcom 802.11b/g WLAN - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D846884-50D6-4B21-B64C-2AA4C5AF9003}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
      1. sego44 Messages postés 113 Statut Membre > sego44 Messages postés 113 Statut Membre
         
        ;
        0
    2. sego44 Messages postés 113 Statut Membre
       
      je peux télécharger malwarebyte's maintenant ou je dois attendre que tu me dises qqch par rapport a mon rapport posté? sinon je n'ai plus le cadre jaune au milieu de mon écran, je crois que c'est bon signe
      0
  15. gen-hackman
     
    malwarebytes maintenant ?
    0
    1. sego44 Messages postés 113 Statut Membre
       
      re salut tu es la?
      je reviens du taf. je fais quoi maintenant?
      0
  16. gen-hackman
     
    llis le post 33
    0
    1. sego44 Messages postés 113 Statut Membre
       
      oui mais tu as mis un point d'interrogation a la fin de ta phrase donc j'ai cru que tu ne comprenais pas de quoi je te parlais. dc je télécharge maintenant a tout a l heure
      0
  17. gen-hackman
     
    oui c etait maniere de te faire comprendre que c est ce que j attendais
    0
    1. sego44 Messages postés 113 Statut Membre
       
      avce du temps et bcp de patience rrrrrrrrrrrrrrrrrrrrrrrrr (je suis a bout) voici le rapport malwarebyte's


      Malwarebytes' Anti-Malware 1.12
      Version de la base de données: 775

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 77553
      Temps écoulé: 1 hour(s), 14 minute(s), 17 second(s)

      Processus mémoire infecté(s): 1
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 31
      Valeur(s) du Registre infectée(s): 5
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 21
      Fichier(s) infecté(s): 43

      Processus mémoire infecté(s):
      C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\c48d3b9bca9b3a5a04bc26f729ee0c6e389dde2e (Trojan.BHO) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\2c5eceb3d45147eb99fa51120e7c7adebe213de6 (Adware.123Mania) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\a6a50b0ebf885a7dd4fb6927f1388592138fffe6 (Adware.123Mania) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{bb224188-52ba-4006-9429-2c7e47ea975b} (Trojan.Agent) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{bb224188-52ba-4006-9429-2c7e47ea975b} (Trojan.Agent) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.FakeAlert) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{c2481ed1-9896-4d49-ae90-69858dfde446} (Adware.Instant Access) -> No action taken.
      HKEY_CLASSES_ROOT\Interface\{1d4db7d3-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
      HKEY_CLASSES_ROOT\pae_bho.pedev_ielistener (Adware.Popups) -> No action taken.
      HKEY_CLASSES_ROOT\pae_bho.pedev_ielistener.1 (Adware.Popups) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{1604df98-d1a5-44fe-844a-98d6fd0518d0} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{87c1805d-c5ae-4455-ab39-e245bb516136} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{8b3b8135-9daa-40e7-8941-962795f9c1cb} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{af7410c1-fba3-415e-800a-4110ced40536} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{b2b0aedf-7cdf-4792-bb67-7654ad1e1b13} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{fa1d6d8f-c6ed-4752-8512-a33283240130} (Adware.EGDAccess) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{39d37d53-eab9-4e04-9ac2-1d72f051590c} (Adware.Popups) -> No action taken.
      HKEY_CLASSES_ROOT\Interface\{39d37d53-eab9-4e04-9ac2-1d72f051590c} (Adware.Popups) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BO1jiZmwnF2zhi (Trojan.Agent) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\WinIFixer.com (Rogue.WinIFixer) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
      HKEY_CURRENT_USER\Software\TrafficEngine (Rootkit.Agent) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ada4ab54-f034-41a4-9a68-95df06976b68} (Trojan.Vundo) -> No action taken.
      HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> No action taken.
      HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> No action taken.
      HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WMDM PMSP Service (Backdoor.Knocker) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      C:\Program Files\SystemDoctor 2006 Free (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\Save (Adware.WhenUSave) -> No action taken.
      C:\Program Files\PeDevice (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\stat_archive (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\tmp (Adware.Popups) -> No action taken.
      C:\Program Files\Temporary (Trojan.Agent) -> No action taken.
      C:\Program Files\JavaCore (Trojan.Downloader) -> No action taken.
      C:\Program Files\NoDNS (Trojan.Agent) -> No action taken.
      C:\Program Files\WinIFixer (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\BrowserObjects (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Packages (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\HKCU (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\HKLM (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.WinIFixer) -> No action taken.
      C:\Documents and Settings\paulprey\Application Data\WinIFixer.com\WinIFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.WinIFixer) -> No action taken.

      Fichier(s) infecté(s):
      C:\Program Files\Fichiers communs\ifqu\ifqud\class-barrel (Malware.Trace) -> No action taken.
      C:\Program Files\Fichiers communs\ifqu\ifqud\vocabulary (Malware.Trace) -> No action taken.
      C:\Program Files\JavaCore\UnInstall.exe (Adware.Insider) -> No action taken.
      C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.
      C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\Activate.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\bnlink.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\DataBase.sav (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\hmlink.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\lapv.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\License.rtf (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\lock.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\pv.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\sd2006url.url (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\sr.log (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\support.url (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\umain.xml (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\unins000.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\up.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\SystemDoctor 2006 Free\updater.dat (Rogue.SystemDoctor) -> No action taken.
      C:\Program Files\Save\SaveNowupdate.exe (Adware.WhenUSave) -> No action taken.
      C:\Program Files\Save\SaveUninst.exe (Adware.WhenUSave) -> No action taken.
      C:\Program Files\PeDevice\communication.xml (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\Domain.Watchlist.txt (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\pae-options.xml (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\pae_url.xml (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\pedevPS.dll (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\search.watchlist.txt (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\statistic.xml (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\watchlist.xml (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\stat_archive\2007-06-08 (Adware.Popups) -> No action taken.
      C:\Program Files\PeDevice\tmp\tmp.html (Adware.Popups) -> No action taken.
      C:\Program Files\WinIFixer\MFC71.dll (Rogue.WinIFixer) -> No action taken.
      C:\Program Files\WinIFixer\msvcp71.dll (Rogue.WinIFixer) -> No action taken.
      C:\Program Files\WinIFixer\msvcr71.dll (Rogue.WinIFixer) -> No action taken.
      C:\Program Files\WinIFixer\WinIFixerSkin.dll (Rogue.WinIFixer) -> No action taken.
      C:\WINDOWS\system32\sft.res (Malware.Trace) -> No action taken.
      C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.ico (Malware.Trace) -> No action taken.
      C:\WINDOWS\system32\ClickToFindandFixErrors_RON.ico (Malware.Trace) -> No action taken.
      C:\WINDOWS\tmlpcert2007 (Adware.EGDAccess) -> No action taken.
      C:\WINDOWS\system32\wjoqufv_navps.dat (Adware.EGDAccess) -> No action taken.
      C:\WINDOWS\system32\wjoqufv_nav.dat (Adware.EGDAccess) -> No action taken.
      C:\Documents and Settings\All Users\Bureau\Services.URL (Heuristics.Reserved.Word.Exploit) -> No action taken.
      0
  18. gen-hackman
     
    fais navilog option 2

    apres

    1) Affiche les fichiers et dossiers cachés …
    Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
    Ensuite, clique sur > Outils > Options des dossiers ...
    clique sur l' onglet « Affichage » et ...
    coche ---> Afficher les fichiers et dossiers cachés
    décoche > Masquer les extensions des fichiers dont le type est connu
    décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
    « Appliquer » et « OK ».

    2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

    http://www.atribune.org/ccount/click.php?id=4

    · Double-clique VundoFix.exe afin de le lancer
    · Clique sur le bouton Scan for Vundo
    · Lorsque le scan est complété, clique sur le bouton Remove Vundo
    · Une invite te demandera si tu veux supprimer les fichiers, clique YES
    · Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    · Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    · Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

    ensuite

    Télécharge AVG Anti-Spyware:

    https://www.avg.com/en-ww/free-antivirus-download

    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    Lance AVG Anti-Spyware
    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    redemarre en mode sans echecs .
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    poste le rapport AVG

    0
    1. sego44 Messages postés 113 Statut Membre
       
      navilog?? c quoi?
      0
  19. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonsoir

    Je ne suis pas sure dutou dutou que tu lises les rapports ;;((

    Comment peux tu mettre ton baratin (j'appelle ça du baratin) au poste 3 alors que tu n'as mm pas le log hijactkthis sous les yeux

    Tu lui demandes Navilog option 2 alors qu'il n'a mm pas fait l'option 1

    Malwarebytes ► No action taken. ► il n'a pas fonctionné donc il faut le refaire.

    C'est un vrai foutoir


    0
  20. gen-hackman
     
    et ca c est quoi ???????????,

    Par lola, le mardi 20 mai 2008 à 13:27:09 Fil de Discussions
    voici le rapport fixnavi
    je dois faire quoi ensuite?? Merci d'avance

    earch Navipromo version 3.5.7 commencé le 20/05/2008 à 12:47:48,10

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Anne"

    Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.11
    Système de fichiers : FAT32

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Anne\menud+~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\WINDOWS\system32\vuypjt.exe 360448 bytes
    C:\WINDOWS\system32\vuypjt.dat 32768 bytes
    C:\WINDOWS\system32\vuypjt_navps.dat 32768 bytes
    C:\WINDOWS\system32\vuypjt_navup.dat 458752 bytes
    C:\WINDOWS\system32\vuypjt_nav.dat 393216 bytes

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\Anne\locals~1\applic~1" *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    vuypjt.dat trouvé !

    * Dans "C:\Documents and Settings\Anne\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\TuvDdccf.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

    *** Analyse terminée le 20/05/2008 à 12:50:09,64 ***

    Répondre à lola

    2

    *

    Ce message vous semble utile, votez !
    * Signaler ce message aux modérateurs
    *

    Par sego44, le mardi 20 mai 2008 à 13:28:27
    0
    1. sego44 Messages postés 113 Statut Membre
       
      vous me faites quoi les enfants au secours je panique
      0
    2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Par lola, le mardi 20 mai 2008 à 13:27:09 Fil de Discussions

      et

      sego44,

      sont elles les mm personnes ?????,


      0
    3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Lola est chez Free
      Sego est chez Tiscali


      0
      1. sego44 Messages postés 113 Statut Membre > ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention  
         
        alors déja que c'était pas facile mais la je crois que je vais me trouver une corde avec une bonne poutre si ça continu. Je ne m'y connais pas du tout et je suis gen... les yeux fermés car je pense pouvoir lui faire confiance maintenant si quelqu'un a une autre solution plus radicale et bcp plus simple je suis preneuse car courir apres les téléchargements et les rapports c'est pas trop mon truc. MAintenant est-ce que quelqu'un peu m'aider vite fait bien fait? Je veux juste en finir avec ces cafards qui, en plus de bouffer mon écran, me bouffent la vie. merci.

        et surtout ne répondez pas tous en mm tps et merci de préciser a qui vous vous adressez.

        Ségo qui n'est pas du tout lola
        0
  • 1
  • 2
  • 3