Je n'ai pas encore réinstallé d'antivirus depuis lundi, ne sachant pas si certaines manips allaient nécessiter de le désinstaller ou pas.
Les infections repérées par mbam sont-elles attrapées pour cette raison ou sont-elles liées à l'infection de départ ?
Puis-je réinstaller antivir ?
Jean
tu as dés le départ une infection qui crée des dossiers sous TEMP, chaque fois sous un nom
diffèrent, avec un setup.exe dedans. Il est probablement camouflé sous le nom d'un fichier
légitime peut-être même Microsoft, svchost ou autres.
Télécharge OTL de OldTimer sur le bureau :
Double-clique sur son icône pour le démarrer, si tu es sous Vista ou 7, démarre par clic-droit Exécuter en tant qu'administrateur.
Assure toi d'avoir fermé les fenêtres actives, avant ce qui suit.
Sous l'emplacement "Personnalisation" copie-colle le contenu de cette boite CODE :
Clique sur le bouton "Analyse rapide". Ne change aucun réglage. Le scan sera rapide.Code:NetSvcs %systemroot%\system32\drivers\*.sys /lockedfiles msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe netsvcs %SYSTEMDRIVE%\*.exe /md5start explorer.exe userinit.exe winlogon.exe wininit.exe tcpip.sys Sfloppy.sys Changer.sys cdrom.sys disk.sys ndis.sys usbscan.sys usbprint.sys tdtcp.sys tdpipe.sys swmidi.sys splitter.sys rdpwd.sys eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll RASACD.SYS iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles
A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt.
Ces deux fichiers sont en outre sauvegardés au même endroit ou tu auras enregistré OTL.exe.
Poste en PJ le contenu de ces fichiers dans ta prochaine réponse .
Je n'ai trouvé que ce fichier.
Jean
Et ceci quand je clique sur "correction".
Jean
Décidément RSIT est hors jeu face à OTL...
Télécharge >OTL.exe< (par OldTimer).
Enregistre-le sur le Bureau.
Fais un double clic sur OTL.exe pour lancer l'outil.
Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans la zone sous Personnalisation:
Clique sur Correction pour lancer la suppression.Code:FS :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\TEMP\hnqq\setup.exe -- (AMService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ov530vid.sys -- (ovt530) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\CORINNE\LOCALS~1\Temp\catchme.sys -- (catchme) O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - No CLSID value found. O2 - BHO: (no name) - {DF82079B-12F8-425A-8576-E13801560EF4} - No CLSID value found. O2 - BHO: (no name) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - No CLSID value found O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found. O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) [2011/01/08 11:25:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\CORINNE\Application Data\Bandoo => Infection BT (Adware.Bandoo) [2011/01/08 11:25:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\CORINNE\Application Data\Bandoo [2011/01/05 16:24:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM [2011/01/06 18:24:44 | 000,000,049 | ---- | M] () -- C:\WINDOWS\UFLNiEkO [2011/01/06 18:24:44 | 000,000,049 | ---- | M] () -- C:\WINDOWS\IldR4yhX [2011/01/06 18:24:44 | 000,000,047 | ---- | M] () -- C:\WINDOWS\YXhqFu8pY [2011/01/06 18:24:44 | 000,000,047 | ---- | M] () -- C:\WINDOWS\KCj8Qd [2011/01/06 18:24:44 | 000,000,047 | ---- | M] () -- C:\WINDOWS\27pGl6miJ [2011/01/06 18:24:44 | 000,000,046 | ---- | M] () -- C:\WINDOWS\nRMdDg [2011/01/06 18:24:44 | 000,000,045 | ---- | M] () -- C:\WINDOWS\vCkBbuYuu5 [2011/01/06 18:24:44 | 000,000,045 | ---- | M] () -- C:\WINDOWS\oliq5 [2011/01/06 18:24:44 | 000,000,045 | ---- | M] () -- C:\WINDOWS\O6aqlYx [2011/01/06 18:24:44 | 000,000,045 | ---- | M] () -- C:\WINDOWS\lgvw3Q [2011/01/06 18:24:44 | 000,000,045 | ---- | M] () -- C:\WINDOWS\kUF7Fwy8T [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\peDjeMar [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\fJWoMCJn2 [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\DIUNopDhrs [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\DHgFX [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\8jejoQT [2011/01/06 18:24:44 | 000,000,044 | ---- | M] () -- C:\WINDOWS\4v7PuPrsJ [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\Xr4cfF [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\NQLE7u3k23 [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\MojnXS [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\GMWuAoe [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\cReTykQ [2011/01/06 18:24:44 | 000,000,043 | ---- | M] () -- C:\WINDOWS\agP7PxLp6 [2011/01/06 18:24:44 | 000,000,042 | ---- | M] () -- C:\WINDOWS\qVgVC8gccH [2011/01/06 18:24:44 | 000,000,042 | ---- | M] () -- C:\WINDOWS\1tvkA [2011/01/06 18:24:44 | 000,000,041 | ---- | M] () -- C:\WINDOWS\vMrdxI [2011/01/06 18:24:44 | 000,000,041 | ---- | M] () -- C:\WINDOWS\ij1l5 [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\wVvOe [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\VkDKja [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\smS67 [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\L4V7s [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\h3nk3swUW [2011/01/06 18:24:44 | 000,000,040 | ---- | M] () -- C:\WINDOWS\DYPBW [2011/01/06 18:24:44 | 000,000,039 | ---- | M] () -- C:\WINDOWS\mNGCd [2011/01/06 18:24:44 | 000,000,039 | ---- | M] () -- C:\WINDOWS\hkAHEHUwv [2011/01/06 18:24:44 | 000,000,039 | ---- | M] () -- C:\WINDOWS\D1gQFhmM [2011/01/06 18:24:44 | 000,000,038 | ---- | M] () -- C:\WINDOWS\oiFxDIwRm [2011/01/06 18:24:44 | 000,000,038 | ---- | M] () -- C:\WINDOWS\Nn8gO [2011/01/06 18:24:44 | 000,000,038 | ---- | M] () -- C:\WINDOWS\fop27bCH [2011/01/06 18:24:44 | 000,000,038 | ---- | M] () -- C:\WINDOWS\CbQWbCO [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\x8nKqH [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\qhn1Kb [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\OCIDeDpR [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\n47VYy6n [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\H4UUCWl [2011/01/06 18:24:44 | 000,000,037 | ---- | M] () -- C:\WINDOWS\G8mqQyaY1 [2011/01/06 18:24:44 | 000,000,036 | ---- | M] () -- C:\WINDOWS\7Py35G [2011/01/06 18:24:44 | 000,000,036 | ---- | M] () -- C:\WINDOWS\2itBap [2011/01/06 18:24:44 | 000,000,035 | ---- | M] () -- C:\WINDOWS\YN2chndwuL [2011/01/06 18:24:44 | 000,000,035 | ---- | M] () -- C:\WINDOWS\y8E2exvp [2011/01/06 18:24:44 | 000,000,035 | ---- | M] () -- C:\WINDOWS\7dUncB [2011/01/06 18:24:44 | 000,000,034 | ---- | M] () -- C:\WINDOWS\KlMvNXdIl [2011/01/06 18:24:44 | 000,000,034 | ---- | M] () -- C:\WINDOWS\dSa1Y6u [2011/01/06 18:24:44 | 000,000,034 | ---- | M] () -- C:\WINDOWS\dfVcjX6ws [2011/01/06 18:24:44 | 000,000,033 | ---- | M] () -- C:\WINDOWS\THgMik [2011/01/06 18:24:44 | 000,000,033 | ---- | M] () -- C:\WINDOWS\OwihnOpmNX [2011/01/06 18:24:44 | 000,000,033 | ---- | M] () -- C:\WINDOWS\dLfW4yK [2011/01/06 18:24:44 | 000,000,033 | ---- | M] () -- C:\WINDOWS\Dk5BXG [2011/01/06 18:24:44 | 000,000,033 | ---- | M] () -- C:\WINDOWS\3VrJKy [2011/01/06 18:24:44 | 000,000,032 | ---- | M] () -- C:\WINDOWS\MDREw [2011/01/06 18:24:44 | 000,000,032 | ---- | M] () -- C:\WINDOWS\hkLr7YHVJW [2011/01/06 18:24:44 | 000,000,032 | ---- | M] () -- C:\WINDOWS\GqDTNjDBw2 [2011/01/06 18:24:44 | 000,000,032 | ---- | M] () -- C:\WINDOWS\AlSXOlDC [2011/01/06 18:24:44 | 000,000,032 | ---- | M] () -- C:\WINDOWS\7ysALMl5Yi [2011/01/06 18:24:44 | 000,000,031 | ---- | M] () -- C:\WINDOWS\EtWGqQ [2011/01/06 18:24:44 | 000,000,031 | ---- | M] () -- C:\WINDOWS\dYPwL [2011/01/06 18:24:44 | 000,000,030 | ---- | M] () -- C:\WINDOWS\Y13U8Qrv [2011/01/06 18:24:44 | 000,000,030 | ---- | M] () -- C:\WINDOWS\tJMPX [2011/01/06 18:24:44 | 000,000,030 | ---- | M] () -- C:\WINDOWS\mrlJgcL7 [2011/01/06 18:24:44 | 000,000,030 | ---- | M] () -- C:\WINDOWS\kNUjmt3 [2011/01/06 18:24:44 | 000,000,029 | ---- | M] () -- C:\WINDOWS\XLGSHo [2011/01/06 18:24:44 | 000,000,029 | ---- | M] () -- C:\WINDOWS\HKivYReJ [2011/01/06 18:24:44 | 000,000,029 | ---- | M] () -- C:\WINDOWS\hBKARaiJbw [2011/01/06 18:24:44 | 000,000,029 | ---- | M] () -- C:\WINDOWS\1QpNcLQ [2011/01/06 18:24:44 | 000,000,028 | ---- | M] () -- C:\WINDOWS\t3XGf [2011/01/06 18:24:44 | 000,000,028 | ---- | M] () -- C:\WINDOWS\Ms4KL8Xl [2011/01/06 18:24:44 | 000,000,028 | ---- | M] () -- C:\WINDOWS\aLKubquphi [2011/01/06 18:24:44 | 000,000,027 | ---- | M] () -- C:\WINDOWS\vXi1S7Oxt [2011/01/06 18:24:44 | 000,000,027 | ---- | M] () -- C:\WINDOWS\Scfhh [2011/01/06 18:24:44 | 000,000,027 | ---- | M] () -- C:\WINDOWS\kNieLR [2011/01/06 18:24:44 | 000,000,027 | ---- | M] () -- C:\WINDOWS\gxs1YoS [2011/01/06 18:24:44 | 000,000,027 | ---- | M] () -- C:\WINDOWS\cxKNqF [2011/01/06 18:24:44 | 000,000,025 | ---- | M] () -- C:\WINDOWS\s7mXr86eJ [2011/01/06 18:24:44 | 000,000,025 | ---- | M] () -- C:\WINDOWS\mQs8O [2011/01/06 18:24:44 | 000,000,024 | ---- | M] () -- C:\WINDOWS\LLJ8Qkw7 [2011/01/06 18:24:44 | 000,000,024 | ---- | M] () -- C:\WINDOWS\EyUEwhL5Ad [2011/01/06 18:24:43 | 000,000,046 | ---- | M] () -- C:\WINDOWS\pCVfT3 [2011/01/06 18:24:43 | 000,000,043 | ---- | M] () -- C:\WINDOWS\L8Ttsb [2011/01/06 18:24:43 | 000,000,041 | ---- | M] () -- C:\WINDOWS\dCvqDMoHtI [2011/01/06 18:24:43 | 000,000,039 | ---- | M] () -- C:\WINDOWS\JtkuNV1q [2011/01/06 18:24:43 | 000,000,029 | ---- | M] () -- C:\WINDOWS\dVj8YFDx [2011/01/06 18:24:43 | 000,000,026 | ---- | M] () -- C:\WINDOWS\N41Pp :Services AMService :Files C:\WINDOWS\UFLNiEkO C:\WINDOWS\IldR4yhX C:\WINDOWS\YXhqFu8pY C:\WINDOWS\KCj8Qd C:\WINDOWS\27pGl6miJ C:\WINDOWS\nRMdDg C:\WINDOWS\vCkBbuYuu5 C:\WINDOWS\oliq5 C:\WINDOWS\O6aqlYx C:\WINDOWS\lgvw3Q C:\WINDOWS\kUF7Fwy8T C:\WINDOWS\peDjeMar C:\WINDOWS\fJWoMCJn2 C:\WINDOWS\DIUNopDhrs C:\WINDOWS\DHgFX C:\WINDOWS\8jejoQT C:\WINDOWS\4v7PuPrsJ C:\WINDOWS\Xr4cfF C:\WINDOWS\NQLE7u3k23 C:\WINDOWS\MojnXS C:\WINDOWS\GMWuAoe C:\WINDOWS\cReTykQ C:\WINDOWS\agP7PxLp6 C:\WINDOWS\qVgVC8gccH C:\WINDOWS\1tvkA C:\WINDOWS\vMrdxI C:\WINDOWS\ij1l5 C:\WINDOWS\wVvOe C:\WINDOWS\VkDKja C:\WINDOWS\smS67 C:\WINDOWS\L4V7s C:\WINDOWS\h3nk3swUW C:\WINDOWS\DYPBW C:\WINDOWS\mNGCd C:\WINDOWS\hkAHEHUwv C:\WINDOWS\D1gQFhmM C:\WINDOWS\oiFxDIwRm C:\WINDOWS\Nn8gO C:\WINDOWS\fop27bCH C:\WINDOWS\CbQWbCO C:\WINDOWS\x8nKqH C:\WINDOWS\qhn1Kb C:\WINDOWS\OCIDeDpR C:\WINDOWS\n47VYy6n C:\WINDOWS\H4UUCWl C:\WINDOWS\G8mqQyaY1 C:\WINDOWS\7Py35G C:\WINDOWS\2itBap C:\WINDOWS\YN2chndwuL C:\WINDOWS\y8E2exvp C:\WINDOWS\7dUncB C:\WINDOWS\KlMvNXdIl C:\WINDOWS\dSa1Y6u C:\WINDOWS\dfVcjX6ws C:\WINDOWS\THgMik C:\WINDOWS\OwihnOpmNX C:\WINDOWS\dLfW4yK C:\WINDOWS\Dk5BXG C:\WINDOWS\3VrJKy C:\WINDOWS\MDREw C:\WINDOWS\hkLr7YHVJW C:\WINDOWS\GqDTNjDBw2 C:\WINDOWS\AlSXOlDC C:\WINDOWS\7ysALMl5Yi C:\WINDOWS\EtWGqQ C:\WINDOWS\dYPwL C:\WINDOWS\Y13U8Qrv C:\WINDOWS\tJMPX C:\WINDOWS\mrlJgcL7 C:\WINDOWS\kNUjmt3 C:\WINDOWS\XLGSHo C:\WINDOWS\HKivYReJ C:\WINDOWS\hBKARaiJbw C:\WINDOWS\1QpNcLQ C:\WINDOWS\t3XGf C:\WINDOWS\Ms4KL8Xl C:\WINDOWS\TEMP\hnqq C:\WINDOWS\aLKubquphi C:\WINDOWS\vXi1S7Oxt C:\WINDOWS\Scfhh C:\WINDOWS\kNieLR C:\WINDOWS\gxs1YoS C:\WINDOWS\cxKNqF C:\WINDOWS\s7mXr86eJ C:\WINDOWS\mQs8O C:\WINDOWS\LLJ8Qkw7 C:\WINDOWS\EyUEwhL5Ad C:\WINDOWS\pCVfT3 C:\WINDOWS\L8Ttsb C:\WINDOWS\dCvqDMoHtI C:\WINDOWS\JtkuNV1q C:\WINDOWS\dVj8YFDx C:\WINDOWS\N41Pp C:\Documents and Settings\CORINNE\Application Data\Bandoo C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM :Commands [EmptyTemp] [EmptyFlash] [Purity] [ResetHosts] [start explorer] [Reboot]
Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes
Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL. Poste le nouveau rapport.
Voilà.
Jean
réinstalle antivir, comme sur le tuto>AntiVir (tuto)< fais un scan complet, puis poste le rapport.
C'est ici.
Jean
ce n'est pas configuré comme sur le tuto...Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Oups désolé ; ça doit être OK maintenant.
Jean
qu'en est-il des pubs ?
Elles sont toujours là, avec régulièrement cet affichage :
http://forums.futura-sciences.com/at...de-pub-pboejpg
ça s'accompagne d'une disparition de la couleur de la barre de tâches en bas de l'écran et de l'impossibilité d'arrêter l'ordinateur qui reste bloqué sur "enregistrement de vos données...".
Jean
Fais un double clic sur OTL.exe pour lancer l'outil.
Si ton PC est sous Windows Vista,faire un clic droit sur OTL.exe
et choisir "Exécuter en tant qu'Administrateur" pour exécuter le tool.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans la zone sous Personnalisation:
Ferme tes navigateurs.Code:FS :OTL FF - prefs.js..extensions.enabledItems: firefox@bandoo.com:5.0 [2011/01/05 16:24:03 | 000,000,000 | ---D | M] (Fun4IM for Firefox) -- C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\MOZILLA\FIREFOX\\EXTENSIONS\FIREFOX@BANDOO.COM O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} - No CLSID value found. O2 - BHO: (no name) - {DF82079B-12F8-425A-8576-E13801560EF4} - No CLSID value found. O2 - BHO: (no name) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - No CLSID value found. O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. [2011/01/08 11:25:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\CORINNE\Application Data\Bandoo [2011/01/05 16:24:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM :Files C:\WINDOWS\UFLNiEkO C:\WINDOWS\IldR4yhX C:\WINDOWS\YXhqFu8pY C:\WINDOWS\KCj8Qd C:\WINDOWS\27pGl6miJ C:\WINDOWS\pCVfT3 C:\WINDOWS\nRMdDg C:\WINDOWS\vCkBbuYuu5 C:\WINDOWS\oliq5 C:\WINDOWS\O6aqlYx C:\WINDOWS\lgvw3Q C:\WINDOWS\kUF7Fwy8T C:\WINDOWS\peDjeMar C:\WINDOWS\fJWoMCJn2 C:\WINDOWS\DIUNopDhrs C:\WINDOWS\DHgFX C:\WINDOWS\8jejoQT C:\WINDOWS\4v7PuPrsJ C:\WINDOWS\Xr4cfF C:\WINDOWS\NQLE7u3k23 C:\WINDOWS\MojnXS C:\WINDOWS\L8Ttsb C:\WINDOWS\GMWuAoe C:\WINDOWS\cReTykQ C:\WINDOWS\agP7PxLp6 C:\WINDOWS\qVgVC8gccH C:\WINDOWS\1tvkA C:\WINDOWS\vMrdxI C:\WINDOWS\ij1l5 C:\WINDOWS\dCvqDMoHtI C:\WINDOWS\wVvOe C:\WINDOWS\VkDKja C:\WINDOWS\smS67 C:\WINDOWS\L4V7s C:\WINDOWS\h3nk3swUW C:\WINDOWS\DYPBW C:\WINDOWS\mNGCd C:\WINDOWS\JtkuNV1q C:\WINDOWS\hkAHEHUwv C:\WINDOWS\D1gQFhmM C:\WINDOWS\oiFxDIwRm C:\WINDOWS\Nn8gO C:\WINDOWS\fop27bCH C:\WINDOWS\CbQWbCO C:\WINDOWS\x8nKqH C:\WINDOWS\qhn1Kb C:\WINDOWS\OCIDeDpR C:\WINDOWS\n47VYy6n C:\WINDOWS\H4UUCWl C:\WINDOWS\G8mqQyaY1 C:\WINDOWS\7Py35G C:\WINDOWS\2itBap C:\WINDOWS\YN2chndwuL C:\WINDOWS\y8E2exvp C:\WINDOWS\7dUncB C:\WINDOWS\KlMvNXdIl C:\WINDOWS\dSa1Y6u C:\WINDOWS\dfVcjX6ws C:\WINDOWS\THgMik C:\WINDOWS\OwihnOpmNX C:\WINDOWS\dLfW4yK C:\WINDOWS\Dk5BXG C:\WINDOWS\3VrJKy C:\WINDOWS\MDREw C:\WINDOWS\hkLr7YHVJW C:\WINDOWS\GqDTNjDBw2 C:\WINDOWS\AlSXOlDC C:\WINDOWS\7ysALMl5Yi C:\WINDOWS\EtWGqQ C:\WINDOWS\dYPwL C:\WINDOWS\Y13U8Qrv C:\WINDOWS\tJMPX C:\WINDOWS\mrlJgcL7 C:\WINDOWS\kNUjmt3 C:\WINDOWS\XLGSHo C:\WINDOWS\HKivYReJ C:\WINDOWS\hBKARaiJbw C:\WINDOWS\dVj8YFDx C:\WINDOWS\1QpNcLQ C:\WINDOWS\t3XGf C:\WINDOWS\Ms4KL8Xl C:\WINDOWS\aLKubquphi C:\WINDOWS\vXi1S7Oxt C:\WINDOWS\Scfhh C:\WINDOWS\kNieLR C:\WINDOWS\gxs1YoS C:\WINDOWS\cxKNqF C:\WINDOWS\N41Pp C:\WINDOWS\s7mXr86eJ C:\WINDOWS\mQs8O C:\WINDOWS\LLJ8Qkw7 C:\WINDOWS\EyUEwhL5Ad C:\Documents and Settings\CORINNE\Application Data\Bandoo C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM :Commands [EmptyTemp] [EmptyFlash] [Purity] [ResetHosts] [start explorer] [Reboot]
Clique sur Correction pour lancer la suppression.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, clique sur Oui/Yes
Lorsque l'outil aura terminé il y affichera dans le message "Fix Complete! Click OK to open the fix log". Clique sur OK puis ferme OTL.
Poste le rapport.
J'ai eu un doute sur la procédure : j'ai d'abord effectué "suppression" une fois ton message copié, puis j'ai pensé que je devais peut-être d'abord faire "analyse" puis "suppression"...
Donc voilà les deux rapports de ma seconde manip
Jean
cherche une extension dans firefox Fun4IM for Firefox , ou Bandoo, que tu supprimes si trouvé.
J'ai un doute sur la bonne exécution des manips avec OTL...
Télécharge ZHPDiag enregistre le sur ton Bureau.
Fais un double clic sur ZHPDiag.exe et suis les instructions.
Coche la case qui permet de mettre un raccourci sur le Bureau.
/|\ l'outil a créera 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, cela peut être relativement long.
Ferme ZHPDiag en fin d'analyse, puis poste le rapport.
Il sera sauvegardé en C:\Program Files\ZHPDiag\ZHPDiag.txt
Je vais chercher ça à quel endroit ?Envoyé par b marlow
Jean
j'ai des gros soucis de connexion, je suis obligé d'envoyer le rapport par morceaux !
je tenterai la suite plus tard, rien ne passe.
C'est incroyable, la deuxième partie du rapport refuse systématiquement de passer, j'ai le message "la connexion a été réinitialisée" chaque fois que je veux valider l'enregistrement de la PJ. J'ai essayé avec plein d'autres docs, pas de souci ; j'ai renommé la partie 2, le pb persiste, je n'y comprends rien. Si tu veux me contacter par mp on peut échanger notre mel pour que je te l'envoie si nécessaire...
Jean
firefox/outils/modules complémentaires/extensions.Je vais chercher ça à quel endroit ?
tu peux mettre le rapport ici:
http://www.cijoint.fr/
Dans les extensions je n'ai que ceci :
ext.jpg
impossible de poster le rapport chez l'hébergeur que tu me proposes, j'ai le même message : "la connexion a été réinitialisée". C'est quoi ce délire ???
Jean
tu as ouvert firefox puis regarder dans les modules complémentaires, onglet extensions ?
pour le fichier log, compresse-le (zipper) puis poste-le ici:
http://www.sendspace.com/
J'ai trouvé Fun4IM for Firefox et je l'ai désactivé. Le rapport est ici :
http://www.sendspace.com/file/0gzf4x
Jean
Pourquoi désactivé, supprime-le tout simplement.J'ai trouvé Fun4IM for Firefox et je l'ai désactivé
Clique sur l'icone Zhpfix qui doit être sur le Bureau, ou dans ZHPDiag, sur l'icône
Sélectionne puis copie-colle toutes les lignes ci-dessous:
Clique ensuite surCode:O2 - BHO: (no name) - {7FF99715-3016-4381-84CE-E4E4C9673020} Clé orpheline O2 - BHO: (no name) - {DF82079B-12F8-425A-8576-E13801560EF4} Clé orpheline O2 - BHO: (no name) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} Clé orpheline O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Multi-channel Sound Manager.lnk - Clé orpheline O4 - Global Startup: C:\Documents And Settings\CORINNE\Menu Démarrer\Programmes\Multi-channel Sound Manager.lnk - Clé orpheline [HKLM\Software\Rjdgheuv] O43 - CFD: 15/01/2011 - 15:44:12 ----D- C:\Documents and Settings\CORINNE\Application Data\Bandoo O47 - AAKE:Key Export DP - "C:\Program Files\Visionsoft\Mom Says No v2\MomSaysNo.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\Visionsoft\Mom Says No v2\MomSaysNo.exe O47 - AAKE:Key Export DP - "C:\Program Files\Visionsoft\Mom Says No v2\msnunins.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\Visionsoft\Mom Says No v2\msnunins.exe O64 - Services: CurCS - (.not file.) - 588e5d98 (588e5d98) .(.Pas de propriétaire - Pas de description.) - LEGACY_588E5D98 O64 - Services: CurCS - (.not file.) - hgycytxi (hgycytxi) .(.Pas de propriétaire - Pas de description.) - LEGACY_HGYCYTXI O64 - Services: CurCS - (.not file.) - pwwyqfod (pwwyqfod) .(.Pas de propriétaire - Pas de description.) - LEGACY_PWWYQFOD O81 - IFC: Internet Feature Controls [HKLM] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
Clique sur "OK", ce qui fera apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Accepte de Redémarrerpour achever le nettoyage.
Poste le rapport de suppression dans la prochaine réponse.
Je ne peux que cliquer sur "activer" ou "désactiver", la touche "désinstaller" est inactive...
Jean
Il n'a pas demandé le redémarrage ; voilà le rapport.
Jean
lance Zhpfix , colle cette ligne dans la fenêtre de commande:Il ne devra y avoir que cette commande. Ensuite clique sur sur OKMBRFix
Clique sur « Tous », puis sur « Nettoyer »
Poste le rapport dans ta prochaine réponse.
Voilà. C'est TDL3 rootkit le pb ?
jean
possible tdl rootkit, le mbr n'est pas infecté, tdsskiller ne trouve rien as-tu des pubs encore ?
