permet
de sélectionner le fichier à supprimer
permet
de visualiser les propriétés du fichier
sélectionné
lance
la suppression, killbox vous demande alors de
redémarrer l'ordinateur si vous avez coché
l'option Delete on Reboot
| Malwares/Fichiers | Action à mener : en mode sans échec |
| pokapoka79/Elitbar : C:\WINDOWS\etb\nt_hide79.dll C:\WINDOWS\etb\pokapoka79.exe C:\WINDOWS\ETB\POKAPOKA79.EXE |
Télécharger
: LQfix.zip Lancer LQfix.bat |
| R1 : xxxx.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rgmua.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rgmua.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rgmua.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rgmua.dll/sp.html#93256 |
Télécharger
: SpSeHjfix112.zip SpSeHjfix112.zip |
| Trojan.Zlob.F System%\ncompat.tlb %System%\msvol.tlb %System%\hp****.tmp où *** est une série de lettres/chiffres aléatoires |
Téléchargez Smitfraudfix Dézipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) |
| AlfaCleaner C:\Program Files\AlfaCleaner\ C:\WINDOWS\system32\oleext.dll O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe |
Telechargez
Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : Alfa Cleaner |
| SpyFalcon C:\Program Files\SpyFalcon |
Telechargez Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : SpyFalcon |
| SpySherrif C:\Program Files\SpySheriff\ C:\WINDOWS\system32\paytime.exe C:\WINDOWS\system32\wininet.dll |
Telechargez Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : SpySherrif |
| SpywareStrike O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe netwrap.dll C:\winstall.exe |
Telechargez Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : SpywareStrike & netwrap.dll |
| SpyAxe C:\Program Files\SpyAxe\ C:\WINDOWS\system32\wbeconm.dll |
Telechargez Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : SpyAxe |
| SpywareQuake C:\Program Files\SpywareQuake\ C:\WINDOWS\system32\wbeconm.dll C:\WINDOWS\system32\suprox.dll C:\WINDOWS\system32\stickrep.dll |
Telechargez Smitfraudfix Dezipez le cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) Plus d'informations : SpywareQuake |
| Erreur
VC
Main.exe /
VC client.exe plus popup disant que vous êtes infectés |
Telechargez Smitfraudfix
Dezzipez le Cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) |
|
MalwareWipe
%DESKTOP%\MalwareWipe.lnk%STARTMENU%\MalwareWipe 4.1.lnk %STARTMENU%\Programs\MalwareWipe\*.* C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\MalwareWipe 4.1.lnk %PROGRAMFILES%\MalwareWipe\*.* |
Telechargez
Smitfraudfix Dezzipez le Cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) |
|
Safety Bar
O3
- Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} -
C:\Program Files\Safety Bar\Safety Bar.dll |
Telechargez Smitfraudfix Dezzipez le Cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) |
|
Faux codecs
O2
- BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program
Files\MPVIDEOCODEC\isaddon.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\iMediaCodec\isaddon.dll O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\WinMediaCodec\isaddon.dll O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\VideosCodec\isaddon.dll O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Program Files\MPVIDEOCODEC\isaddon.dll --> Popup "critical system error" |
Telechargez Smitfraudfix Dezzipez le Cliquez sur Smitfraudfix.cmd Lancez l'option 2 (ET PAS AUTRE CHOSE) |
| Vundo O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtsqo.dll O15 - Trusted Zone: http://*.billingnow.com O15 - Trusted Zone: http://*.reliablestats.com O15 - Trusted Zone: http://*.winantispyware.com O15 - Trusted Zone: http://*.winantivirus.com O15 - Trusted Zone: http://*.winantiviruspro.com O15 - Trusted Zone: http://*.winfixer.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O20 - Winlogon Notify: nnnmk - C:\WINNT\SYSTEM32\nnnmk.dll O20 - Winlogon Notify: sstqq - C:\WINNT\System32\sstqq.dll O20 - Winlogon Notify: ursrr - C:\WINNT\System32\ursrr.dll (les dll ont des noms aléatoires) C:\WINDOWS\system32\ddcay.dll C:\WINDOWS\system32\aycdd.bak1 C:\WINDOWS\system32\aycdd.ini C:\WINDOWS\system32\ajtibesb.exe --> Fichier .bak1 .ini avec fichiers .dll inverser et fichiers .exe aléatoires ET :C:\Program Files\Fichiers communs\{DC266719-07DA-1036-0616-050505060021} le 1036 est toujours présent ! |
Téléchargez
VundoFix.exe Les lignes 015 peuvent être supprimées avec DelDomain.inf Possibilité d'utiliser combofix avec l'option /v Par exemple pour une ligne : O20 - Winlogon Notify: nnnmk - C:\WINNT\SYSTEM32\nnnmk.dll --> combofix /v nnnmk |
|
PurityScan
O4 - HKCU\..\Run: [Cmrzgut] C:\WINDOWS\System32\??rss.exe O4 - HKCU\..\Run: [Csac] "C:\PROGRA~1\COMMON~1\TSKS~1\attrib.exe" -vt mt O4 - HKCU\..\Run: [Sabn] "C:\DOCUME~1\Francois\APPLIC~1\RACLE~1\wuauclt.exe" -vt tzt --> l'option -vt permet de reconnaitre facilement les lignes. Généralement les répertoires comportes des ?? de plus ce sont des fichiers Windows ou des répertoires d'applications connues qui sont tronqués dans les répertoires Windows / Program Files ou Documents and Settings Exemple : WINDOWS\DOBE~1 WINDOWS\WNSXS~1 WINDOWS\TSKS~1 WINDOWS\SKS~1 WINDOWS\YSTEM3~1 WINDOWS\CURITY~1 WINDOWS\SCURIT~1 WINDOWS\FNTS~1 WINDOWS\APPATC~1 WINDOWS\system32\SMANTE~1 WINDOWS\system32\APPATC~1 Program Files\MANTEC~1 Program Files\CROSOF~1.NET Program Files\STEM~1 Program Files\YSTEM~1 Program Files\CROSOF~1.NET\w?auboot.exe Documents and Settings\Francois\Application Data\RACLE~1 Documents and Settings\Francois\Application Data\STEM32~1 Documents and Settings\Francois\Application Data\MBOLS~1 Documents and Settings\Francois\Application Data\RACLE~1\RACLE~1 Documents and Settings\Francois\Application Data\RACLE~1\wuauclt.exe \Documents and Settings\Francois\Mes documents\SSTEM~1 |
Utilisez combofix |
|
888bar / ToolBar
O2
- BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} -
C:\PROGRA~1\FICHIE~1\{34E3D~1\888Bar.dllO3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{34E3D~1\888Bar.dll |
Utilisez combofix |
|
Look2me
O20
- Winlogon Notify: ShellServiceObjectDelayLoad -
C:\WINDOWS\system32\p48q0el5ehq.dllO20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\gp0ol3d31.dll O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\r06u0aj9edo.dll O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\ir82l5lo1.dll |
Téléchargez
Look2Me Remover ou Téléchargez l2mfix |
| O17
-
HKLM\System\CCS\Services\Tcpip\..\{54957F5C-8A60-4EF7-A51C-84E1769853BF}:
NameServer = 85.255.116.138,85.255.112.214 O17 - HKLM\System\CCS\Services\Tcpip\..\{78CBAD92-5E1E-409F-88DC-2876AA657403}: NameServer = 85.255.116.138,85.255.112.214 O17 - HKLM\System\CCS\Services\Tcpip\..\{B278EFA7-F9DA-4E20-B657-5FD15BFD4569}: NameServer = 85.255.116.138,85.255.112.214 O17 - HKLM\System\CCS\Services\Tcpip\..\{21CD9600-9A06-4452-A399-3A5F432B65AF}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{63B5BE77-A139-4A4E-B81C-57AEE5BAB3CF}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{97A95D3D-279B-4AF9-8D60-825C19D826A1}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{C7845079-2793-4606-9F0B-5A808911EBC3}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{E88C1CA6-BBB2-4E1C-9390-837300D91E14}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{EBB87963-B13F-4A45-9692-5664BC402326}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CS1\Services\Tcpip\..\{21CD9600-9A06-4452-A399-3A5F432B65AF}: NameServer = 85.255.116.100,85.255.112.227 O17 - HKLM\System\CS2\Services\Tcpip\..\{21CD9600-9A06-4452-A399-3A5F432B65AF}: NameServer = 85.255.116.100,85.255.112.227 |
FixeWareut http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe |
| ISTbar %ProgramFiles%\ISTbar\cmctl.dll %ProgramFiles%\ISTbar\istbarcm.dll %ProgramFiles%\ISTbar\imagemap_normal.bmp %ProgramFiles%\ISTbar\imagemap_over.bmp %ProgramFiles%\ISTbar\version.txt %ProgramFiles%\ISTbar\xml_istbar.xml %ProgramFiles%\IstSvc\istsvc.exe %Windir%\[RANDOM FILE NAME].exe %Windir%\Downloaded Program Files\ysbactivex.dll %Windir%\Downloaded Program Files\istactivex.dll %UserProfile%\Favorites\Fun & Games, drops numerous link files in this folder %UserProfile%\Favorites\Going Places, drops numerous link files in this folder %UserProfile%\Favorites\Living, drops numerous link files in this folder %UserProfile%\Favorites\Shop, drops numerous link files in this folder %UserProfile%\Favorites\Technology, drops numerous link files in this folder |
Utilisez le removetool de Norton |
|
Haxdoor
: xxx32.dll
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll O20 - Winlogon
Notify:
avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon
Notify:
avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon
Notify:
fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon
Notify:
cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon
Notify:
tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon
Notify:
axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
O20 - Winlogon
Notify:
winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O20 - Winlogon
Notify:
snda32 - C:\WINDOWS\SYSTEM32\snda32.dll
O20 - Winlogon
Notify:
sndu32 - C:\WINDOWS\SYSTEM32\sndu32.dll
O20 - Winlogon
Notify:
lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll
|
Utilisez haxfix |
| La DLL peut être différente O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' O10 - Unknown file in Winsock LSP: c:\windows\system32\msvrl.dll O10 - Broken Internet access because of LSP provider 'osmim.dll |
Pas la peine d'aller en mode sans échec
: Téléchargez et lancez LSPfix Déconnectez-vous d'Internet et fermez toutes les fenêtres d'Internet Explorer. Cochez la case "I know what I'm doing" Sélectionnez toutes les instances des dll contenue dans 010 du rapport d'HijackThis Faites glisser du panneau de gauche "keep" au panneau de droite "Remove". Clique sur le bouton "Finish". |
| O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll | Téléchargez
et enregistrez sur votre bureau win32delfkil
et placez sur votre bureau. Double-cliquez sur win32delfkil.exe, et cliquez sur installeren dans le dossier win32delfkil, lancez fix.bat. Le pc va redemarrer tout seul. |
| O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1047.dll,InstantAccess | Dll
utilisée par des Dialers Se trouve dans le dossier Windows Utilisez KillBox pour supprimer le fichier il est conseillé de scanner votre ordinateur en mode sans échec avec AVG AntiSpyware |
0.0.0.0 www.symantec.com 0.0.0.0 securityresponse.symantec.com 0.0.0.0 symantec.com 0.0.0.0 www.sophos.com 0.0.0.0 sophos.com 0.0.0.0 www.mcafee.com 0.0.0.0 mcafee.com 0.0.0.0 liveupdate.symantecliveupdate.com 0.0.0.0 www.viruslist.com 0.0.0.0 viruslist.com 0.0.0.0 viruslist.com 0.0.0.0 f-secure.com 0.0.0.0 www.f-secure.com 0.0.0.0 kaspersky.com 0.0.0.0 kaspersky-labs.com 0.0.0.0 www.avp.com 0.0.0.0 www.kaspersky.com 0.0.0.0 avp.com 0.0.0.0 www.networkassociates.com 0.0.0.0 networkassociates.com 0.0.0.0 www.ca.com 0.0.0.0 ca.com etc.. etc.. |
Modification
du fichier HOST (plus d'information sur le fichier HOST : Le
fichier HOSTS dans la résolution DNS sous Windows et
GNU/Linux ) Téléchargez The Hoster -- Dézippez ce fichier sur votre bureau -- Hors connexion navigateur fermé ainsi que toutes les applications en cours -- Double-clicquez sur hoster.exe -- Cliquez sur Restore Original Hosts et ensuite sur Ok |
| Adaware.E2Give O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll O20 - AppInit_DLLs: iniwin32.dll,Runner.dll,Runner.dll,eflidaad.dll,SDRunner.dll,Runner.dll C:\WINDOWS\system32\tpuninstall.exe C:\WINDOWS\system32\iniwin32.dll C:\WINDOWS\system32\SDRunner.dll C:\Program Files\E2G\IeBHOs.dll C:\Program Files\E2G\ |
Utilisez Spyware Terminator en mode sans échec |
