après avoir affiché les dossiers cachés et protégés va dans l’ Explorateur Windows : déplie (+) -->C:–>Documents and Settings\didier<–session de cet utilisateur–>Local Settings–>Temporary Internet Files–>Content.IE5–> recherche et supprime tout le dossier (pareil pour les autres) : -->PCOVXL0T\bridge-c15[1].cab
ou/et(+) C–>(+) windows–>(+) Temporary Internet Files–>(+)contentIE5 : non?
recherche et supprime manuellement (avec !toute! la procédure de recherche et suppression classique voir plus haut)
C:\WINDOWS\Downloaded Program Files–> supprime : AdToolsX.dll et lkir8l2gm_.dll etc…
OK, c’est déjà pas mal.
Pour la suite :
-
Pour Temporary Internet Files :
Panneau de config -> Options Internet -> onglet Général -> bouton Supprimer les fichiers -> cocher Supprimer les fichiers hors-ligne avant de faire OK.
-
Pour Local Settings\Temp :
Clique droit sur Poste de travail -> Propriétés -> onglet Avancé -> bouton Variables d’environement -> dans la partie en haut (variables pour Didier) -> si tu as TEMP et TMP dans la première colonne -> choisis chaque variable -> Editer -> copier la valeur présente dans un fichier (pour revenir plus tard) puis mettre C:\temp.
Si tu ne les as pas, fais Nouveau et crée-les avec les noms et valeurs indiqués (TEMP/TMP/C:\temp)
Redémarrer le PC. Puis aller dans C:\Documents and Settings\didier\Local Settings -> supprimer tout le dossier Temp -> vider la corbeille -> reboot.
- Pour Downloaded Program Files :
Redémarrer en mode sans échec.
Démarrer -> Exécuter -> cmd -> OK
Puis taper exactement ça :
C:
cd “\WINDOWS\Downloaded Program Files”
regsvr32 /u AdToolsX.dll
regsvr32 /u lkir8l2gm_.dll
del AdToolsX.dll
del lkir8l2gm_.dll
Reboot.
Tout ceci avec la restauration système désactivée bien entendu.
Qu’as-tu encore dans msconfig -> Démarrage ?
Fais un scan HijackThis aussi.
la procédure 3 je pense y être arrivé,j’ai mis un espace chaque fois que tu changeais de ligne et j’ai écris tout à la suite .par contre la phase 2 je comprend pas trés bien (excuse moi je me débrouille un petit peu mais je suis pas un boss)comment fait on pour “éditer”.pour pas faire de bétises je me suis arrêté là.j’ai pensé qu’il fallait faire un clic droit puis copier mais ça m’ouvre juste “qu’est ce que c’est”.et je ne comprend pas trés bien la suite .faut il créer un fichier et le mettre dans temp ???je suis en train de télécharger hijackthis je colle le scan dés que s’est fait @+ et merci encore.
ps
la solution de westernunion ne fonctionne pas je m’arrête à “temporary internet files”
voici le scan de hijackthis ,y’a pas un patch en français pour ce truc ?
Logfile of HijackThis v1.99.1
Scan saved at 19:18:52, on 23/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
F:\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM…\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM…\Run: [antiware] C:\windows\system32\eliteozi32.exe
O4 - HKLM…\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
moi j’y comprend pas grand chose là. j’ai oublié de te dire j’ai IE eplorer et firefox (je sais pas si c’est pas depuis que j’ai des problèmes)et j’ai la moitié d’une page qui s’ouvre dés que je surfe "résult of search"je ferme et elle revient avec d’autre recherche c koi ce virus ?
Tu ne trouves pas les fichiers? tu dois louper un épisode
dans le log fixe (coche)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
Les lignes 04
1) arrête ces processus : ctrl/alt/supp
2) tu repasses sur le log et tu fixes
O4 - HKLM…\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe <-- spy. Kodorjan
O4 - HKLM…\Run: [antiware] C:\windows\system32\eliteozi32.exe<–spy. elitetoolbar qui s’est renommée
O4 - HKLM…\Run: [sais] c:\program files\180solutions\sais.exe<-- spy. 180 solutions
*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)
(screenshot)
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français
OK, c’est déjà mieux.
Nous allons tenter une manip plus simple pour la deuxième phase :
- démarrer en mode sans échec
- ouvrir l’invite de commande
- taper exactement ceci :
del /s /q %TEMP%
del /s /q %TMP%
==> chaque fois que je change de ligne, tu valides par la touche Entrée.
- rebooter.
Pour le log HijackThis, quand tu es encore en mode sans échec :
- supprime tout le dossier Goto Software, 180solutions et Windows AdStatus dans C:\program files.
- supprime eliteozi32.exe dans C:\windows\system32
- coche les cases suivantes puis clique sur Fix checked :
-
les spys :
O4 [Windows AdStatus]
O4 [antiware]
O4 [sais]
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe
-
quelques trucs inutiles (optionel):
O4 - HKLM…\Run: [TkBellExe]
O4 - HKCU…\Run: [MSMSGS]
- rebooter puis refais un autre scan Hijackthis et reposte le log ici.
alors pour del /s /q %TMP% j’ai eu accés refusé la première invite de commande nickel.
dans C:program files j’ai supprimé goto soft par contre les 2 autres :introuvables ???
et enfin voici le scan aprés avoir fixed
Logfile of HijackThis v1.99.1
Scan saved at 22:02:07, on 23/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
F:\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM…\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
encore merci vous êtes des dieux 
comment faites vous pour trouver des erreurs dans ces scans ???
Félicitations ! Tu es clean maintenant 
Pour ta question : un peu d’expérience + Google. Tu tapes le nom de l’exe ou de la dll dans Google (par exemple WinStat.exe) et il te dira tout.
Bonne continuation et n’oublie pas de :
- surfer avec un parrefeu ;
- Windows + antivirus + antispy à jour.
@+
Je m’en doutais. C’était juste pour précaution parce que les entrées de registre étaient encore là. Mais c’est tant mieux que les malwares n’y étaient plus physiquement.
Le log est clean
Goto Software\Vade Retro <-- c’est un logiciel anti-spams, pkoi il fallait le supprimer?
Pardon. J’ai lu à travers le Google 
@suvalawan: tu peux toujours le réinstaller si tu veux.
Edit: coucou western, apparemment mon pseudo est trop compliqué pour vous :lol:
Il me répondait :
[quote=""]
Pour le log HijackThis, quand tu es encore en mode sans échec :
- supprime tout le dossier Goto Software, 180solutions et Windows AdStatus dans C:\program files.
[/quote]
super ,chapeau bas messieurs ,et merci mille fois,par contre que me conseillez vous comme parfeu à installer?j’ai une autre question :comment puis je restaurer mon système,je crois que j’ai supprimer certains trucs dans la base de registre qu’il falait pas : mon modem ne fait plus de bruit lors de la connection,et j’ai plus les petites icones des sites dans mes favoris .et ça c’est juste ce dont je me suis aperçu lolll
ok,comment fais tu pour savoir si le parefeu de xp est activé et comment l’installé s’il ne l’ est pas, je tourne avec xp et le pack sp1 :bounce:
Dans le panneau de config -> Connexions réseau, tu cliques droit sur chaque connexion -> propriétés -> onglet Avancé -> coche la première case : Protéger…
La connexion dont le parefeu est activé affiche un cadenas sur son icône.
n[barre]e[/barre]glechau :whistle:
:pt1cable:
