Se debarrasser d'un site qui revient sans cesse (résolu)

Bonjour,

je ne sais pas comment supprimer le site postarticles qui arrive automatiquement à l\'ouverture de Internet Explorer

Merci à ceux qui savent et à bientôt

Bonjour,

C\'est sans doute un virus qui en est la cause, fais une analyse complète avec ton antivirus à jour.
Tu peux poster un rapport Hijackthis dans ta réponse sur memoclic.
Vas sur la page qui suit.
www.hijackthis.de/
Tu télécharges le programme, tu renommes le programme en HJT.

Quand tu as lancé le programme
tu cliques sur > Do a system scan and save logfile.
Tu vas avoir un rapport au format texte, tu sélectionnes tout le texte, tu le colles ici.

Bonjour

Essayez egalement de supprimer ce qui se trouve dans le fichier content ie5:

Vista
demarrer / ordinateur / windows vista C: / utilisateurs /
défaults / app data / local / microsoft / windows / temporary internet files / content IE5

Là se trouve 4 dossiers avec des noms torturés qui peuvent être supprimés sans risque et qui contiennent une grande quantité de cookies et url en tout genre qui sont des fichiers temporaires servant a afficher les pages en evitant une recherche au moteur, mais qui peuvent dissimuler des liens vers des pages comme celle qui est générée a l\'ouverture de votre navigateur.

Cela ne vous empêche pas de faire un rapport hjt, mais on ne sait jamais

Bonjour,

hijackthis doit être installé à la racine de C: dans un dossier qui lui est propre et renommé (le hijackthis.exe en HJT.exe , par exemple) pour ne pas être reconnu par certains virus

Bonjour,

[S]Pour jllg :[/S]

Il est fortement conseillé de télécharger l\'exécutif d\'HijackThis sur le bureau et de l\'installer à partir de là.
Lorsque l\'on fait des modifications avec HijackThis, un dossier backup est créé automatiquement sur le bureau ainsi que le fichier bloc-notes, il permet en cas d\'erreur de revenir en arrière en utilisant les multiples fonctions d\'hijackThis.

Par contre +1 pour renommer HijakThis pour les raisons que tu donnes. Cependant, HijackThis commence à s\'essouffler, Tend micro ne le mets pas à jour assez régulièrement. HijackThis ne montre donc que les infections les plus courantes.

Si tu le souhaites, je peux t\'indiquer un autre outil de diagnostic plus élaboré, mais aussi plus difficile à interpréter.

Sinon, tu ne te débrouilles pas trop mal,

Bonjour,

pagesperso-orange.fr/rginformatique/section%20virus/Hijenr.gif

et chez moi le voici à la racine de C: dans son dossier et renommé

Bonjour,

je peux t\'indiquer un autre outil de diagnostic plus élaboré

RSIT peut être?
si tu as un guide à l\'interprétation ,je l\'etudierais avec plaisir

Bonjour,

Il s\'agit bien de RSIT, pour le guide il n\'en existe pas malheureusement. Il faut apprendre. Par MP ce serait plus simple, mais sur ce forum c\'est pas possible.

Pour en revenir à HijackThis, conseille toujours aux internautes de l\'installer sur le bureau, c\'est plus simple pour toi et surtout pour eux.

Bonjour,

malwarebeach,voici une adresse où tu peux me joindre
95ipyopsmja5fzs@jetable.com

Bonjour,

MP envoyé, à bientôt pour nos échanges constructifs.

bonjour,
je voudrai savoir comment me débarassé de ce virus quan je mé google sa prend du temp é sa mafiche le site postarticles je voudré savoir comment le suprimé
merci de me laisser une réponsse

Bonsoir myriam et bienvenue sur mémoclic,

Pour vérifier si ton ordinateur est bien infecté fais ceci :

• Télécharge Random\'s system information tool (RSIT) et enregistre le sur ton bureau
  
• Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT
  
• Double clique sur RSIT.exe pour lancer l\'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)
  
• Sous vista ,clique droit sur le fichier et choisis \"Exécuter en tant qu\'administrateur\".
  
• Clique sur \"continue\" à l\'écran Disclaimer.
  
• Si l\'outil HijackThis (version à jour) n\'est pas présent ou non détecté sur l\'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c\'est le log.txt, le second info.txt sera ouvert mais dans la barre de tache.

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\\

voici les chemins d\'accès=> C:\\RSIT\\log.txt & C:\\RSIT\\info.txt

poste les dans ta réponse sur ce forum dans deux messages distincts,stp .

Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

bonjour !
j\'ai une page de démarrage postarticles très collante
pour m\'en débarrasser j\'ai essayé de suivre vos conseils le rapport de hijackthis donne:


pour la suite que dois je faire?
merci de vos conseils


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:02, on 27/12/2009
Platform: Windows XP SP3, v.5657 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Program Files\\Avira\\AntiVir Desktop\\sched.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Program Files\\Avira\\AntiVir Desktop\\avguard.exe
C:\\Program Files\\Fichiers communs\\LogiShrd\\LComMgr\\Communications_Helper.exe
C:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
C:\\Program Files\\Labtec\\WebCam10\\WebCam10.exe
C:\\Program Files\\Bonjour\\mDNSResponder.exe
C:\\Program Files\\iTunes\\iTunesHelper.exe
C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe
C:\\Program Files\\Free Download Manager\\fdm.exe
C:\\WINDOWS\\rndll.exe
C:\\documents and settings\\administrateur\\local settings\\application data\\trpna.exe
C:\\Program Files\\Google\\Update\\GoogleUpdate.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Program Files\\OpenOffice.org 3\\program\\soffice.exe
C:\\Program Files\\OpenOffice.org 3\\program\\soffice.bin
C:\\Program Files\\Fichiers communs\\LogiShrd\\LComMgr\\LVComSX.exe
C:\\Program Files\\iPod\\bin\\iPodService.exe
C:\\Program Files\\Internet Explorer\\iexplore.exe
C:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe

R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://www.google.fr/ie
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.orange.fr/
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = http://www.google.fr/
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = http://www.google.fr/ie
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://www.google.fr/ie
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.google.fr/
R1 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = *.local
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Favoris
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\\Program Files\\Fichiers communs\\Adobe\\Acrobat\\ActiveX\\AcroIEHelperShim.dll
O2 - BHO: Programme d\'aide de l\'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\\Program Files\\Free Download Manager\\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\\Program Files\\Java\\jre6\\bin\\jp2ssv.dll (file missing)
O4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\"
O4 - HKLM\\..\\Run: [LogitechCommunicationsManager] \"C:\\Program Files\\Fichiers communs\\LogiShrd\\LComMgr\\Communications_Helper.exe\"
O4 - HKLM\\..\\Run: [LogitechQuickCamRibbon] \"C:\\Program Files\\Labtec\\WebCam10\\WebCam10.exe\" /hide
O4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime
O4 - HKLM\\..\\Run: [iTunesHelper] \"C:\\Program Files\\iTunes\\iTunesHelper.exe\"
O4 - HKLM\\..\\Run: [KernelFaultCheck] %systemroot%\\system32\\dumprep 0 -k
O4 - HKLM\\..\\Run: [Firevall Administrating] rndll.exe
O4 - HKLM\\..\\Run: [avgnt] \"C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe\" /min
O4 - HKCU\\..\\Run: [msnmsgr] \"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\" /background
O4 - HKCU\\..\\Run: [uewgmou] \"c:\\documents and settings\\administrateur\\local settings\\application data\\uewgmou.exe\" uewgmou
O4 - HKCU\\..\\Run: [Free Download Manager] \"C:\\Program Files\\Free Download Manager\\fdm.exe\" -autorun
O4 - HKCU\\..\\Run: [trpna] \"c:\\documents and settings\\administrateur\\local settings\\application data\\trpna.exe\" trpna
O4 - HKUS\\S-1-5-19\\..\\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'SERVICE LOCAL\')
O4 - HKUS\\S-1-5-20\\..\\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'SERVICE RÉSEAU\')
O4 - HKUS\\S-1-5-18\\..\\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'Default user\')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\\Program Files\\OpenOffice.org 3\\program\\quickstart.exe
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\\Program Files\\Free Download Manager\\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\\Program Files\\Free Download Manager\\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\\Program Files\\Free Download Manager\\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\\Program Files\\Free Download Manager\\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra \'Tools\' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\\Program Files\\Avira\\AntiVir Desktop\\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\\Program Files\\Avira\\AntiVir Desktop\\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\\Program Files\\Bonjour\\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\\Program Files\\Google\\Update\\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\\Program Files\\iPod\\bin\\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\\Program Files\\Fichiers communs\\LogiShrd\\SrvLnch\\SrvLnch.exe

--
End of file - 6586 bytes

Tu as plusieurs infections, je n\'ai pas le droit de te guider pour la désinfection (je ne suis pas helper).
Voici une adresse aide-virus.forumactif.net/virus-securite-f1/js-pdfka-cg-expl-t293.htm

Salut

L\'adresse du lien è l\'ouverture d\'IE (voir image), le changer.
Certains sites Web malicieux, vous glissent un petit code qui empêche la modification de la page de démarrage Internet Explorer.

bonsoir,

je vous remercie pour vos réponses rapides.
jeanmy: c\'est bien la mon problème mais j\'ai beau changé l\'adresse dans option internet, elle revient ...au galop!!
jd : tu me renvois sur un site compétent, suis plutot novice, faudrait que j\'essaie!....sans rien casser je sais pas.
merci pour votre aide.
bonne soirée.

Donnes nous des nouvelles de ta désinfection.

Salut

je suppose que dans Internet Explorer l\'option page de Démarrage est grisée, m\'imposant un site que je ne veux pas

Certains sites Web malicieux, vous glissent un petit code qui empêche la modification de la page de démarrage Internet Explorer.

Il faut lancer Regedit, aller à :
HKCU\\Software \\Policies \\Microsoft \\Internet Explorer \\Control Panel
dans HomePage
Type: REG_DWORD mettre la valeur à 0 si elle est à 1

PowerIE6 résout aussi ce problème.
http://www.technicland.com/powerie6.php3

bonjour
ton ordinateur qui utilise une version modifiée de XP est infecté par un trojan et une infection par adaware \"navipromo\"
pour un nettoyage complet, je te conseille de t\'adresser à un forum spécialisé en sécuritéICI par exemple

Salut
C\'est toujours la même page qui revient & navipromo n\'est pas connu pour cela.

\" Adware.NaviPromo est un adware succeptible d\'ouvrir des popups de publicités.
Il est connu pour afficher des popups de pub pornographiques du site : http://www.epass-key.com
Des popup d\'alertes pour les antivirus WinantivirusPro ou System Doctor \"

Avant de poster, attendre que l\'auteur ai essayé la proposition, et si j\'ai pris la parole c\'est parce que le topic s\'égare.

Tu as plusieurs infections, je n\'ai pas le droit de te guider pour la désinfection (je ne suis pas helper).

Le gars vas au docteur,
le docteur \"vous avez plusieurs infections.\"
Le malade \"lesquelles docteur\"
le docteur \"je n\'ai pas droit de vois soigner\"
le malade \"je fais quoi\"
le docteur \"vous allez voir la et ce sera 25€\"

et si j\'ai pris la parole c\'est parce que le topic s\'égare.

moi aussi et là où je l\'envoie c\'est gratuit .

ensuite, On reconnaît Navipromo à l\'emplacement, et au nom aléatoire de son exécutable qui apparaît deux fois, exactement comme sur les lignes juste au dessous

O4 - HKCU\\..\\Run: [uewgmou] \"c:\\documents and settings\\administrateur\\local settings\\application data\\uewgmou.exe\" uewgmou

O4 - HKCU\\..\\Run: [trpna] \"c:\\documents and settings\\administrateur\\local settings\\application data\\trpna.exe\" trpna

cependant traine actuellemnt sur le net des infections chinoises qui prennent cet aspect sur les logs hijackthis
voilà pourquoi n\'étant qu\'en formation de helper et par conséquent pas infaillible je préfère diriger le demandeur vers un forum sur lequel il trouvera une aide efficace et sécure

mais il est libre de son choix

bonjour

Je ne fais que rarement du Hijackthis, car c\'est souvent long.
Je trouve que rndll.exe n\'a rien à faire la, perso je le renommerai en rndllxxx.exe et je relancerais le PC (dois se trouver à c:windows\\rndll.exe)

Bonne soirée

C:\\WINDOWS\\rndll.exe
O4 - HKLM\\..\\Run: [Firevall Administrating] rndll.exe

ce processus ne doit se trouver nulle part c\'est clairement la trace d\'un trojan (voir même d\'un ver)
le renommer ainsi ne l\'empêchera pas de s\'exécuter.
donc je répète et je m\'en excuse auprès de jeanmy qui veut bien faire, il vaut mieux se faire aider sur un forum spécialisé en sécurité.

ce PC comme l\'a dit J_D est multi-infecté et comme il s\'agit d\'une version non officielle de XP je souhaite qu\'il ait à faire à un \" helper\" compréhensif .

ce processus ne doit se trouver nulle part.

d\'ou se lance t\'il si il est nulle part

Bonne soirée

je n\'ai pas dit qu\'il n\'était nulle part mais qu\'il ne devrait se trouver nulle part si tu préfères

en d\'autre termes => il n\'a pas sa place sur un PC sain

www.systemlookup.com/Startup/21069-rndll_exe.html
www.bleepingcomputer.com/startups/?&act=search&st=0&keyword=rndll.exel copier rndll.exe dans le champ de recherche
www.bleepingcomputer.com/startups/rndll.exe-25371.html
www.superantispyware.com/malwarefiles/RNDLL.EXE.html

bonsoir!
pour le moment j\'ai pas eu le temps d\'essayer qq choses.
A part le regedit de jeanmy qui me paraissait fastoche....mais j\'ai meme pas trouvé le HKCU software etc...je me demande si je devrais pas attendre l\'année prochaine le retour de congès de mon pote!! au lieu de jouer l\'apprenti informaticien.
pour le moment j\'ai seulement ce problème de page de démarrage de postarticles ,et quelques pubs qui apparaissent de temps en temps.
merci tout de meme pour vos aides.

mais j\'ai meme pas trouvé le HKCU software

Il se trouve dans le registre, ce n\'est pas impossible de le trouver, mais il faut un peu connaitre le registre, note que le registre à une possibilité de recherche par un mot.

Je n\'ai pas regardé le post entier, mais dans ce cas, il faut commencer, par lancer Spybot ou Adaware (ou les deux), ils sont fait pour cela, il y aura possibilité qu\'il l\'enlève si il connaît cette merde.
Si cela est récent et que tu n\'a pas chargé de nouveaux programmes depuis que cela est arrivé, restaure le registre à une date avant le problème, et si tu à chargé un programme entre temps et que tu sais lequel, cela n\'est pas grave tu désinstalle et puis restauration du registre.

PS Hijackthis, pense que tu n\'a pas de parefeu? Je ne connais pas Avira ou Antivir ? À t\'il un parefeu ? Si non c\'est comme habiter une maison qui a des portes avec serrure, mais que l\'on ne ferme pas à clef.
Pour pas mourir idiot, j\'explique, un Pc a des portes d\'entrée/sortie, qui ont une adresse bien définie, quand une demande E/S le firewall ouvre la porte si cela est OK, quand c\'est fini, le firewall ferme la porte et verrouille, si pas de firewall la porte reste ouverte, et c\'est par la qu\'il essaie d\'entrer avec un robot scanneur, qui essaie en scannant des adresses IP, de trouver l\'ouverture, c\'est comme un voleur, qui entre dans une rue, arrive à la première maison, fais le tour et pousse les portes, fais la deuxième etc. jusqu\'a ce qui trouve.
Hijackthis, est un programme qui analyse les registres (registre qui ont des groupes R1, 01, 02, etc.)
Il faut donc analyser, c\'est la difficulté, ex. je ne connais pas avira, donc je ne sais pas si c\'est une bonne clé ou une clé indésirable.
Maintenant quand on met le log Hijackthis dans l\'analyseur, il vérifie avec sa base de données si les lignes sont connues et cote OK, inconnu, peu sur etc.
La merde qui est un fichier, dois être lancé par une clé de registre (souvent dans le groupe 04, lancement au démarrage), donc si on change le nom du fichier (il faut le trouver car ils vont le noyer dans un dossier avec un tas de fichiers), ici il devrait être dans la racine c:\\Windows ?, en le renommant la clé vas envoyer une demande de lancement vers un fichier qui n\'existe plus vu qu\'il a été renommé.
Après plusieurs lecture de ton log, je ne voyais rien de flagrant, car pour c:\\windows\\rndll.exe je lisais mdll.exe (souvent ils sont vicieux pour cacher leur merdes), mdll.exe est un fichier employé par Windows, pour faire tourner un programme en arrière plan.
Donc je pense, que ce fichier est indésirable dans le PC, si on le renomme, et que le PC fonctionne mal, rien de grave et le renomme comme avant.
Si cela s\'arrangerais, on supprime carrément le fichier, et si on ne se sent pas capable, on peu charger un logiciel qui analyse les clés des registres, et qui pourras enlever les clés obsolètes, je passe cela régulièrement après une sauvegarde avec Acronis (je conseille l\'achat d\'Acronis avec un autre logiciel qui sauvegardera les fichiers de travail) car cela éviterais des problèmes de ce genre.
PS Attend que ton chum revienne.

Bonjour ,
je suis dans le même cas que myriam , le site post-articles s\'affiche toujours en page d\'accueil, et même si je remet google en page d\'acueil , rien n\'y fait. J\'ai suivi les conseils de malware bleach mais quand je lance RSIT, je fais éxécuter et un mot me dit \"C\\Documents and settings\\VALENTIN\\Bureau\\RSIT.exe n\'est pas une application Win 32 valide\" Que dois-je faire ? :) Merci d\'avance !

Suivant les explications que malwarebleach avait donné...

Pour RSIT:

Télécharge Random\'s system information tool (RSIT) et enregistre le sur ton bureau

Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT

Double clique sur RSIT.exe pour lancer l\'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)

Sous vista ,clique droit sur le fichier et choisis \"Exécuter en tant qu\'administrateur\".

Clique sur \"continue\" à l\'écran Disclaimer.

Si l\'outil HijackThis (version à jour) n\'est pas présent ou non détecté sur l\'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c\'est le log.txt, le second info.txt sera ouvert mais dans la barre de tache.

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\\

voici les chemins d\'accès=> C:\\RSIT\\log.txt & C:\\RSIT\\info.txt

pour jeanmy
Pour empêcher un fichier *.exe d\'être actif il faut changer son extension en *.old par exemple
Si c\'est un processus on ne pourra pas le renommer tant qu\'il est actif
Si le fichier est caché il faut expliquer comment faire pour afficher les fichiers cachés

si on regarde au début de ce topic on voit que chez moi \"hijackthis.exe\" justement est renommé en \"grojack.exe\" ce qui ne l\'empêche pas de fonctionner mais simplement d\'être reconnu par certaines infections
Se méfier de l\'analyseur en ligne de hijackthis et ne pas appliquer à la lettre ce qui y est préconisé,ce n\'est qu\'un robot renseigné par les internautes
il peut donner des indications mais rien ne vaut une recherche personnelle sur les entrées douteuses après avoir étudié un minimum hijackthis.
Quand à spybot et surtout Adaware ils sont bien peu réactifs sur les infections actuelles.
hijackthis est de moins en moins utilisé au profit de rsit beaucoup plus complet et mis à jour régulièrement.
Acronis à condition d\'être sûr de faire des images non infectées

pour val
il y a de grande chance que tu sois infecté par le ver \"bagle\"
donc là aussi mon conseil est de poster sur un forum spécialisé ICI

je pense que même si un des symptomes est le même (détournement de la page de démarrage) ces deux PC sont multi-infectés avec des infections différentes ce qui est classique de certains malware qui une fois en place, ouvrent la porte à d\'autres et ceci tant qu\'ils ne sont pas complètement éradiqués
d\'où l\'importance de s\'adresser à des spécialistes

Salut

Pour empêcher un fichier *.exe d\'être actif il faut changer son extension en *.old par exemple

Dans ce cas il va envoyer un ordre de lancement rndll.exe er il ne vas pas le trouver car il est renommé en rndllxxx.exe.
Bien sur si on clique soit même sur rndllxxx.exe il va s\'exécuter mais si on le renomme en .old plus d\'exécution.
on renomme souvent en.old pour conserver le fichier quand un nouveau est chargé, certain logiciel en update font cela, pour pouvoir restaurer.

Acronis à condition d\'être sûr de faire des images non infectées

Bien sur, perso je nomme chaque fois le fichier, C1, C2, C3, etc.
Hier j\'en ai encore fais un et j\'ai du enlever une dizaine de dossier ( les plus vieux)Acronis car le DD était bourré.
Je pourrais donc retourner en arrière d\'une dizaine de backup.

salut!
Finalement je me demande si la solution la plus facile pour moi n\'est pas de restaurer a une date ultérieure? (pas la plus pro pour vous).
Nous perdrons quoi? on fait sur le pc que de la consultation, qq mails, qq photos , mon fils un peu de musique.
bonne journée.
@ +.

salut.

Je me demande si je devrais pas restaurer mon pc a une date antérieur, plus facile pour moi! (pas très pro pour vous).
je perdrais quoi? finalement ce pc sert pour consulter, mails, qq photos,vidéos et musique de mon fiston!
bonne fin de journée.
@ +.

A condition que la partie de restauration n\'est déja pas contaminée ??
Mais c\'est une solution simple pour toi .

Salut

Je me demande si je devrais pas restaurer mon pc a une date antérieur

Je crois que je l\'ai déja dis.
1 Passer spybot, (peu de chance qu\'il trouve)
2. Restaurer avant la date de contamination, si connu.

si pas OK, trouve le fichier r n d ll . exe (j\'ai mis des espaces pour ne pas confondre rn avec m)et le nom ou l\'extension ou les deux ou le déplacer.
Le trouver avec Windows rechercher, dans l\'explorateur.

Bon réveillon et compliments à Madame si elle existe.

bonjour

malgré cela il restera sûrement encore une ou plusieurs infections
=> ne pas oublier leur présence visible dans les lignes 04 de hijackthis

Bon réveillon à tous

Salut

ne pas oublier leur présence visible dans les lignes 04 de hijackthis

Donne les lignes en faisant un copier/coller

Bon réveillon et soyez sage mais pas trop.

Donne les lignes en faisant un copier/coller

je les ais déjà données plus haut

lire mon post du 29/12 à 14h57

Salut

je n\'ai pas relu, 42 posts pour un topic, c\'est long heureusement que c\'est gratos.

Que le grand medium de 2010 soit avec vous et bonne santé à tous, et à votre régulière et non régulière, et à vos PC\'s, pardon pour ceux que j\'ai oubliés, et soyez cool.

jllg, tu parles d\'infections multiples , tu as surement raison car ce n\'est pas mon seul problème , entre autres , dés que je branche qqchose, peu importe ce que c\'est, sur mon port usb, un mot saffiche a lécran , revient SANS CESSE et avast me trouve un virus , que je supprime mais qui revient toutes les 30 secondes ..

jllg parle d\'infections multiples, il a surement raison, car la page d\'accueil n\'est pas mon seul problème , entre autres, quand je branche un périphérique sur mon port usb, peu importe ce que c\'est , un mot s\'affiche SANS CESSE et avast me détecte un virus que je supprime mais qui revient toutes les 30 secondes . . et à partir de ce moment le mot est impossible a virer a part en éteignant le PC .. ce qui est vraiment génant !

bonjour!
merci pour vos réponses.
mon vieux tromblon va mieux.
bonnes fêtes

en fait j\'ai pas restauré! j\'ai mis Superantispyware...il a fait ça fête a postarticles rapidos...j\'espère définitivement.
Mais qui donc me l\'avait conseillé!?
encore merci pour tout....a l\'année prochaine.
(2010 je vire mon vieux tromblon c\'est sur!)

Salut & hureuse annee

A verifier si exact
Orange comme page d\'acceuil (celle qui n\'apparait plus?)
Google comme moteur de recherche
Une application communication mobile (je ne sais pas ce que c\'est car je suis immobile)
Une webcam Labtec/Logitec
Tu emploie Itunes
Tu emploie un gestionnaire de chargement Free Download Manager
Tu a eu Sun Office ou il se lance manuellement.
Tu as un Ipod

C\'est ceci qui sent pas bon C:\\WINDOWS\\rndll.exe avec sa clé de lancement
O4 - HKLM\\..\\Run: [Firevall Administrating] rndll.exe

Je vois que c\'est résolu, je note le programme.
Tu peux passer un noueau Hijackthis et voir ce qui est disparu.

Bon dimanche

Tu peux passer un noueau Hijackthis et voir ce qui est disparu.

+1 ça m\'intéresse

Salut
Le logiciel a été donné par jllg, mais attention quand on charge un gratos, certains sites propose un nettoyage et ils enlèvent bien certains malware, mais mettent les leurs.
Je pense ici avec le site officiel c\'est OK.
Mais tu pourra avec un nouvel Hijackthis si oK.


Bonne journée tatous

je n\'ai pas donné un lien vers ce logiciel avec l\'idée de le faire télécharger.
j\'ai juste donné un lien, parmi d\'autres, vers une description de rndll.exe .www.superantispyware.com/malwarefiles/RNDLL.EXE.html
il se trouve qu\'il est question dessus de SuperAntiSpyware et que l\'internaute en a déduit qu\'il pouvait le télécharger et s\'en servir.

n\'aies pas peur jeanmy je sais ce que sont les rogues et même la façon de s\'en débarrasser
depuis le début de ce topic je ne cesse d\'orienter les demandeurs vers un forum spécialisé, c\'est à mon sens la solution la plus sûre.
j\'espère que c\'est ce que fera Val et ce que fera adrien si il lui reste des traces d\'infection

Salut
Ce n\'est pas pour te critiqué d\'avoir donné un lien, il y a beaucoup de chance qu\'il est sain, le site original est bien noté par McAfee.
Mais comme dis mon épouse
Décharger à la main c\'est plus sûr de ne pas attraper un nouveau virus.

salut

Je trie mon pense bête voici un lien des sites on on crois déverminer.

www.spywarewarrior.com/rogue_anti-spyware.htm