besoin d'aide

[invite23e92119]

Salut,
j'ai fait un scan avec ad_ware, j'ai 70 objet mis en quarentaine, je sais pas quoi faire après les supprimer?? (car ya des fichierss dll dedans)???
-----

[invite9bff601c]

Bonjour et Bienvenue sur Futura !


Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.


Bonne journée

[invite23e92119]

je bloque à l'étape 2 pour ouvrir le fichier go.cmd il me demande de l'ouvrir avec ... mais je ne sais pas quoi choisir, il s'ouvre avec le bloc note et je peut rien faire dessus

[invite9bff601c]

Hello !

As-tu bien dézippé le fichier télécharger ?

Clique droit dessus, extraire ici (ou extract here)

Normalment, il ne doit pas te demander comment l'ouvrir.

Quel système d'exploitation as-tu ?

[A voir en vidéo sur Futura]

[invite23e92119]

excusez moi je parlait de l'étape 3

[invite23e92119]

j'ai windows Me

[invite23e92119]

j'ai refait la manip mais cela me fait pareil il me demande de l'ouvrir avec...

[invite9bff601c]

Re,

bon ok, passe cette étape, fais le scan avec Hijackthis.

[invite23e92119]

Ok, merci.
Voilà mon scan hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18:28:46, on 19/07/2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\WINPATROL.EX E
C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAM FILES\HIJACKTHIS VERSION FRANçAISE\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://french.eazel.com/index.php?rvs=hompag
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IES DSG.DLL
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRAM FILES\BILLP STUDIOS\WINPATROL\winpatrol.ex e
O4 - HKLM\..\Run: [avgctrl] "C:\Program Files\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKCU\..\Run: [ccleaner] "C:\PROGRAM FILES\CCLEANER\CCLEANER.exe" /AUTO
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunServices: [ccleaner] "C:\PROGRAM FILES\CCLEANER\CCLEANER.exe" /AUTO
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

Mais je viens de faire un scan sur spyware doctor et il me reste 14 infections que je n'arrive pas à supprimer, voici le rapport:

Résultats de l'analyse :
démarrage de l'analyse : 19/07/2007 13:45:50
arrêt de l'analyse : 19/07/2007 13:49:14
Eléments analysés : 42810
éléments trouvés : 14
trouvés et ignorés : 0
outils utilisés : General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner

Nom de l'infection Emplacement Risque
WinAntiVirus HKCR\AppID\VapFM.EXE Elevé
WinAntiVirus HKCR\AppID\VapFM.EXE## Elevé
WinAntiVirus HKCR\AppID\VapFM.EXE##AppID Elevé
Trojan.Mailskinner HKCU\Software\epk_extr Haut
Trojan.Mailskinner HKCU\Software\epk_extr## Haut
Trojan.Mailskinner HKCU\Software\epk_extr##instal ldt Haut
Trojan.Mailskinner HKCU\Software\epk_extr##uai Haut
Instant Access HKCU\Software\livesvc Haut
Instant Access HKCU\Software\livesvc## Haut
Instant Access HKCU\Software\livesvc##navtime Haut
Adware.Softomate HKCU\Software\Microsoft\Intern et Explorer\Extensions\CmdMapping ##{B7D3E479-CC68-42B5-A338-938ECE35F419} Haut
Adware.Softomate HKCU\Software\Microsoft\Intern et Explorer\Toolbar\ShellBrowser# #{B7D3E479-CC68-42B5-A338-938ECE35F419} Haut
Adware.Softomate HKCU\Software\Microsoft\Intern et Explorer\Toolbar\WebBrowser##{ B7D3E479-CC68-42B5-A338-938ECE35F419} Haut
Instant Access HKCU\Software\Microsoft\Window s\CurrentVersion\WinTrust\Trus t Providers\Software Publishing\Trust Database\0##goicfboogidikkejcc mclpieicihhlpo jimddp Haut

Si on peut m'aider, je sais plus quoi faire pour me debarraser.

[invite9bff601c]

Bonsoir,


les rapports doivent être postés en pièce jointe.

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
Déroule la procédure ci-dessous

• Clic en bas sur I accept
• Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
• Lance-le en double-cliquant sur le fichier blbeta.exe
• Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
• Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
• Ouvre fsbl-bxxxx.log et poste le rapport dans ta prochaine réponse

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

Bonne soirée

[invite23e92119]

bonjour,
j'ai essayé de faire ce que tu m'a dit mais pour louvrir le fichier il me dit que userenv.dll n'a pas été trouvé (de plus le nom du fichier n'est pas le même, j'ai fsbl.exe, es-ce normal?)

[invite9bff601c]

Bonjour,

pour le nom, c'est normal, j'ai oublié de le changer.

Essaie avec celui-ci :

Télécharge Panda Antirootkit.

• Décompresse l'archive sur ton Bureau.
• Double clique sur PAVARK.exe pour lancer l'application.
• Clique sur Accept, puis sur Start Scan.
• Une fois le scan terminé, clique sur Advanced Report, puis sur Export CSV

Ferme l'application et poste ton rapport dans ta prochaine réponse.

Bonne journée

[invite23e92119]

Bonsoir,

J'ai toujours le même souci quand je veux lancer l'application, fichier userenv.dll n'a pas été trouvé.

[invite9bff601c]

Bonsoir,

on va faire autrement alors,

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.


Bonne soirée

[invite23e92119]

Je l'ai téléchargé et mis sur le bureau, quand je lance l'application, cela me dit que " windows ne trouve pas %systemroot%system32/cmd.exe Vous avez peut-être tapé un nom incorrect dans le champ executer ou un autre programme ne peut pas trouver un fichier systeme. Pour rechercher un fichier, cliquez sur le bouton démarrer, puis sur rechercher."

[invite9bff601c]

Re,

ça doit être parce que tu es sous ME....

Essaie de suivre cette procédure >> http://www.malekal.com//Adware.Magic...mozTocId213723

Dis moi si elle fonctionne.

Bonne soirée

[invite23e92119]

non, elle ne fonctionne pas , le programme requiert windows Nt ou version5.0 ou superieur

[invite9bff601c]

Bonjour,


pouha...c'est pas pratique ME....

Essaie comme ceci :

Lance HiJackThis, choisis Open the Misc Tools Sections, clique sur Open Hosts file manager, clique sur Open Notepad, sauvegarde le rapport créé et poste le dans ta prochaine réponse.

Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :

• List also minor sections (full)
• List empty sections (complete)

Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.


Bonne journée

[invite23e92119]

C'est vrai, voici les rapports en piece jointe

[invite9bff601c]

Bonjour,

télécharge userenv.dll ici

Dézippe l'archive et place le fichier ici : C:\WINDOWS\SYSTEM\

Recommence le scan avec Panda Anti-Rootkit.

Poste moi le rapport généré si cela à marcher

[invite23e92119]

J'ai mis userenv.dll dans dossier system
j'ai lancer application antirootkit, il me marque erreur de démarrage du programme : le fichier userenv.dll est lié à une exportation manquante ntdll.dll:rtldospathnametontpa thname_U.
et C:\windows\bureau\antiroostkit \pavark.exe. Un périphérique attaché à ce systeme ne fonctionne pas correctement

[invite9bff601c]

Bonsoir,

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Télécharge Brute Force Uninstaller (de Merijn).

• Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
• FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
• Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

============================== =============================
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

============================== ==============================

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir C:\Windows\System32\ /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : check.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier check.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

============================== ============================

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

---------------------------------------------------------------------------

Poste moi le rapport files.txt dans ta prochaine réponse.

Bonne soirée

[invite23e92119]

j'ai fait la procédure à la lettre, mais le fichier files.txt ne contient rien du tout

[invite9bff601c]

Bonjour,

On va le refaire :

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir C:\Windows\System\ /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : check.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier check.bat : une fenêtre va s'ouvrir rapidement,c'est normal.


Je pense que ça sera mieux, poste moi le rapport généré.

Bonne journée

[invite23e92119]

Je refait cette manip en remplacement de l'autre toujours en mode sans echec et avec la manip bfu à la fin? ou juste ce que tu a écrit?

[invite9bff601c]

Re,

tu fais juste ce que j'ai écrit dans mon dernier, en mode normal.

[invite23e92119]

J'ai refait mais toujours rien dans le fichier files.txt
quand je double clique sur fichier check.bat 2 fenetre s'ouvre une ms dos et un bloc note file.
dans Ms dos ya marqué trop de paramètres h et commutateur non valide q en mode normal
et en mode sans eche ya marqué sous ms dos: (pareil que pour la première manip avec system32)
c:\windows\bureau>code commande ou nom de fichier incorrect trop de paramètres h et commutateur non valide q

[invite9bff601c]

Re,

j'ai pas de ME à ma disposition pour tester le batch....

Re-essaie en mode normal, pas besion d'aller en mode sans échec, avec celui-ci

Code:

@ECHO OFF
dir C:\Windows\System\ > files.txt
notepad files.txt
del /q files.txt
exit

Bonne journée

[invite23e92119]

c'est bon cela a marché voici en pièce jointe le fichier files.txt

[invite23e92119]

excuse la voici