| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
 Posté le: 27 Mai 2006 13:39 Sujet du message: |
|
|
Yep ! Bonne nouvelle 
Je pense que c'est surtout grâce au fix et à delldomain.inf 
| TVH02 a écrit: | par contre, il y a un fichier:
C:\WINDOWS\system32\stera.job dont l'icone est celui d'une application où il y a dans le coin bas à gauche un rond rouge avec une croix blanche.(un peu comme l'icone Killbox")
Je ne l'ai pas enlevé, ai je bien fait ??? |
Vire-le. 
Par curiosité, j'aimerais savoir si tu as trouvé des clés dans le registre ?
Tu ne m'as pas donné le rapport de BFU 
Comme je suis de nature méfiante envers ces logiciels malveillants, fais une recherche approfondie sur l'ensemble du disque (fichiers cachés et fichiers systèmes inclus dans la recherche) en entrant ceci dans le champ : *_nav.dat
Vide la quarantaine de Avast et désactive /réactive la restauration du système, pour virer les points éventuellement infectés.
| TVH02 a écrit: | | Pense tu que IE risque de se bloquer ? |
Toujours difficile de se prononcer avec IE 
Je pense que le blocage venait de Winantivirus qui réessayait de se réinstaller. Par contre privilégie les surfs avec Firefox et contente toi d'utiliser IE pour les mises à jour de Windows.
| TVH02 a écrit: | | Si des fenetres s'ouvrent, je te tiens au courant. |
Je laisse le sujet ouvert quelques jours
@+
_________________
 |
|
| Revenir en haut |
|
 |
Invité
|
| Posté le: 27 Mai 2006 14:19 Sujet du message: |
|
|
Mince, j'ai oublié de mettre le rapport BFU et je suis rentré chez moi !!! 
Je le fais demain vers 8 heures. (Réveil au clairon) 
Je pourrais demander au neveu si il a eu des problèmes.
Merci  |
|
| Revenir en haut |
|
|
JP02
Nouveau
Inscrit le: 18 Mai 2006
Messages: 22
|
| Posté le: 28 Mai 2006 6:23 Sujet du message: |
|
|
Bonjour Lorelei
Voici le scan BFU:
http://cjoint.com/?fCitxRXTmu
Par clé supprimée, je pense que c'est celle avec Spybot, celle ci a été trouvée est supprimée:
HKEY_USERS\S-1-5-21-3495148648-812063304-3916897612-1006\Software\LangConfig
IE se bloque encore quelques fois.
Sinon, plus de fenetres qui s'ouvrent.
Encore merci
THV02 et JP02 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
| Posté le: 28 Mai 2006 12:21 Sujet du message: |
|
|
Bonjour à tous les deux,
La recherche de fichiers aléatoires : *_nav.dat a-t-elle été faite ?
Qu'est ce qu'il y a dans le dossier : C:\WINDOWS\Installer\{0000040C-78E1-11D2-B60F-006097C998E7} ?
Sur la fenêtre d'erreur, après le crash de IE, il doit y avoir moyen d'avoir plus d'informations...
Pas de boîte de dialogue de ce genre avec la possibilité d'avoir plus de détails ?
@+ et bon dimanche
_________________
|
|
| Revenir en haut |
|
|
Invité
|
| Posté le: 28 Mai 2006 13:26 Sujet du message: |
|
|
Bonjour Lorelei
La recherche sur *_nav.dat a été faites rien n'a été trouvé.
Je ne suis pas chez le neveu donc je ne peus pas te dire ce qu'il y a dans le fichier C:\WINDOWS\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}. Dès que je peus, je te le dis.
Pour le blocage d'IE, voici comment cela se passe:
Sur une page web (n'importe laquelle), on clique sur un lien et la page se bloque (pas à chaque fois, c'est aléatoire), plus aucun lien ne fonctionne, ni les ascenseur, etc ... plus rien quoi !!! mais uniquement sur cette page !!!!! car si d'autre page web son ouverte, on peut continuer à surfer sur celle-ci. Si l'on revient sur la page bloquée, le seul moyen pour la fermer est ctrl + alt + suppr et fin de tache mais à ce moment toute les pages web se ferment. Aucun message d'erreur seul une boite de dialogue me demandant si je veus envoyer le rapport à Microsoft.
Assez bizarre, n'est-il pas ????
Merci beaucoup |
|
| Revenir en haut |
|
|
JP02
Nouveau
Inscrit le: 18 Mai 2006
Messages: 22
|
| Posté le: 28 Mai 2006 16:30 Sujet du message: |
|
|
Re bonjour lorelei
Dans le dossier C:\WINDOWS\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}, il ya dix icones dont voici les noms:
1- accicons
2- bindico
3-fpicon
4-graph9
5-misc
6-outicon
7-PEicons
8-pptico
9-wordicon
10-xlicons
Ces icones "ressemblent" à ceux de excell ,word, acces, etc...
Je pars pour le 33 demain matin.
Je ne pourrais te répondre avant jeudi. 
THV02 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
| Posté le: 29 Mai 2006 7:52 Sujet du message: |
|
|
Bonjour,
| TVH02 a écrit: | | Ces icones "ressemblent" à ceux de excell ,word, acces, etc... |
Jusque là c'est normal, il s'agit du pack d'installation d'Office.
Par contre je ne vois pas très bien où se situe le rapport avec un module de Sony. 
Pour le plantage à répétition de IE, je pense que cette erreur doit y être pour quelque chose :
| Citation: | Description :
Application défaillante iexplore.exe, version 6.0.2900.2180, module défaillant msvcrt.dll, version 7.0.2600.2180, adresse de défaillance 0x00037fd4. |
Les autres étant des erreurs fréquentes du moins normales après un plantage d'application.
Il est possible que le fichier msvcrt.dll soit corrompu.
On va essayer de remplacer cette dll, je ne garantis pas le résultat mais au moins on saura si ça vient de là
Tu peux la télécharger ICI.
Ferme IE s'il est ouvert.
Avant de faire un échange standard de dll, fais un copier / coller de celle qui se trouve dans C:\WINDOWS\system32\dllcache et sauvegarde là dans tes documents ou sur une clé usb.
Fais un copier / coller de la nouvelle dll dans :
C:\WINDOWS\system32\dllcache et C:\WINDOWS\system32 (si Windows râle, envoie le bouillir)
Vois ce que ça donne ensuite 
Sinon tente une réparation de IE avec PowerIE.
Et avec Firefox, pas de problème 
@+
_________________
|
|
| Revenir en haut |
|
|
Invité
|
| Posté le: 03 Juin 2006 3:20 Sujet du message: |
|
|
Bonjour Lorelei
J'ai telephoné au neveu pour prendre des nouvelles et des fenetres de pub s'ouvrent à nouveau. 
C'est à n'y rien comprendre !!!!
Navipromo et WinAntiVirus pro 2006 semblent etre revenu !!!!! |
|
| Revenir en haut |
|
|
JP02
Nouveau
Inscrit le: 18 Mai 2006
Messages: 22
|
| Posté le: 03 Juin 2006 7:55 Sujet du message: |
|
|
Rebonjour
J'ai passé un coup de CCleaner et cleanup.
J'ai refais un log:
http://cjoint.com/?gdj1iUlVbv
C'est redevenu comme avant !!!????
THV02 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
| Posté le: 03 Juin 2006 13:23 Sujet du message: |
|
|
Bonjour thv02
| thv02 a écrit: | J'ai telephoné au neveu pour prendre des nouvelles et des fenetres de pub s'ouvrent à nouveau.
C'est à n'y rien comprendre !!!!
Navipromo et WinAntiVirus pro 2006 semblent etre revenu !!!!! |
Il commence à me fatiguer Navipromo là !
Le log n'a pas bougé, c'est déjà ça. Depuis combien de temps les fenêtres ont-elles réapparu ?
Manifestement, il reste des fichiers et des clés de registre à atomiser. Le problème est de savoir quoi. Il va falloir qu'on creuse davantage, parceque là il n'y a rien qui le détecte. 
Avast signalait la toolbar de Yahoo, je ne sais pas pour quelle raison, mais dans le doute, désinstalle là on ne sait jamais quelquefois qu'un module de la barre Yahoo soit corrompu. A la place, préfère lui la Google Toolbar
- Télécharge & installe cette version de HijackThis. Un raccourci "HijackThis & More" va être créé sur le bureau.
- Double clique dessus, le dossier contenant HijackThis.exe va s'ouvrir,
- Double clique sur ht.bat, un nouveau log (plus complet) va être généré dans le dossier HijackThis et s'appellera both.log. Uploade le sur ta prochaine réponse comme un log HijackThis classique.
- Télécharge ce bat, dézipppe-le et double clique dessus pour l'exécuter. Un fichier list.txt va être créé à la racine de C:\, poste le.
- Fais un scan en ligne avec PestPatrol, qu'on voit s'il n'y a rien de nouveau depuis la dernière fois.
As-tu essayé de remplacer la dll pour les soucis avec IE ?
@+
_________________
|
|
| Revenir en haut |
|
|
Invité
|
| Posté le: 04 Juin 2006 3:33 Sujet du message: |
|
|
Bonjour lorelei
Non désolé, je n'ai remplacé la dll.
Par contre j'ai installé firefox sur son ordinateur.
Il navigue avec et pour le moment aucune fenetres de pub s'ouvrent.
Est ce normal ??? Ne devraient-elles pas s'ouvrir aussi avec Firefox ????
Je fais ce que tu me dis dès que je vais chez lui.
Merci pour ta gentilesse.
thv02
PS pour la toolbar de Yahoo, on la supprime en allant dans "ajout/suppression de programme" ??? |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
| Posté le: 04 Juin 2006 10:31 Sujet du message: |
|
|
Bonjour thv02,
| thv02 a écrit: | Par contre j'ai installé firefox sur son ordinateur.
Il navigue avec et pour le moment aucune fenetres de pub s'ouvrent.
Est ce normal ??? Ne devraient-elles pas s'ouvrir aussi avec Firefox ???? |
Ca risque d'arriver aussi si Navipromo n'est pas totalement éradiqué.
Ceci dit tu as bien fait d'installer FF.
| thv02 a écrit: | | pour la toolbar de Yahoo, on la supprime en allant dans "ajout/suppression de programme" ??? |
Oui
Passe un coup de SmitfraudFix également. J'aimerais voir si wininet.dll n'est pas infectée aussi, à tout hasard.
@+
_________________
|
|
| Revenir en haut |
|
|
JP02
Nouveau
Inscrit le: 18 Mai 2006
Messages: 22
|
| Posté le: 05 Juin 2006 6:37 Sujet du message: |
|
|
Bonjour lorelei
J'ai mis la DLL dans C:\WINDOWS\system32\dllcache car celle-ci était inexistante mais impossible de la remplacer dans C:\WINDOWS\system32 Un message me dit que c'est utiliser alors que tout est fermé.
Je n'ai pas pu enlever Yahoo toolbar car impossible a trouver dans ajout/supression de programme pourtant il existe un dossier Yahoo dans programmes files.
Voici les différent log.
Hijackthis
http://cjoint.com/?gfiEUDtK3W
Bat list:
http://cjoint.com/?gfiHYeONrD
Pestpatrol
http://cjoint.com/?gfjaeRarLH
smitfraudfix 1
http://cjoint.com/?gfiK00oR2U
smitfraudfix 2
http://cjoint.com/?gfiLr4tejP
Les fenetres pour WinAntiVirus Pro 2006 & Navipromo s'ouvrent toujours.
Merci pour ton aide
THV02 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7800
Localisation: Rouen (France)
|
| Posté le: 05 Juin 2006 8:27 Sujet du message: |
|
|
Bonjour thv02,
| JP02 a écrit: | | J'ai mis la DLL dans C:\WINDOWS\system32\dllcache car celle-ci était inexistante mais impossible de la remplacer dans C:\WINDOWS\system32 Un message me dit que c'est utiliser alors que tout est fermé. |
Et cette dll existe dans System32 ?
| JP02 a écrit: | | Je n'ai pas pu enlever Yahoo toolbar car impossible a trouver dans ajout/supression de programme pourtant il existe un dossier Yahoo dans programmes files. |
Pourtant cette barre est bien présente sur le log...
Ouvre HijackThis, coche et fixe ces lignes :
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
Supprime le dossier existant dans Program Files, et passe un coup de CCleaner.
Les différents rapports ne donnent rien 
Navipromo utilise les même techniques qu'un rootkit pour se rendre invisible, on va donc utiliser les outils existants pour la détection de rootkits.
- Télécharge Blacklight de F-Secure, crée lui son propre dossier, sur le bureau.
- Ferme tous les programmes et toutes les fenêtres, et déconnecte toi d'internet.
- Clique sur Accept, puis sur Scan
- A la fin du scan, ouvre le dossier que tu as créé, tu trouveras un fichier fsbl + date du jour.log, poste le rapport.
@+
_________________
|
|
| Revenir en haut |
|
|
Invité
|
| Posté le: 05 Juin 2006 13:17 Sujet du message: |
|
|
Bonjour lorelei
Je vais aler chez le neveu pour faire tout cela.
Pour la dll, elle n'était pas dans C:\WINDOWS\system32\dllcache mais était bien présente dans C:\WINDOWS\system32
Je viens de regarder sur mon ordi et c'est pareil !!!???
Chez le neveu, sur une fenetre IE, lorque je clique sur Affichage/ Barre d'outils, la barre Yahoo est bien marqué. Pourtant,si je la coche, elle n'apparait pas
A tout à de suite |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
