[GEN] demande d'aide -> Spyware indestructible
Moderators: Shub, Administrateurs - Adjoint, Modérateur, Administrateur, Global Moderator
-
- Lieutenant
- Posts: 382
- Joined: 14 Oct 2002 - 05:35:20
- Location: Quelque part, mais pas ici
- Contact:
[GEN] demande d'aide -> Spyware indestructible
J'ai présentement un spyware sur mon ordinateur (un très très chiant )
Il a créé 3 dossier, c'est un searchassistant, voici les trois dossiers
C:\Program Files\AnteProgramBird
-- DC2E43D8
-- love blah.exe
-- lqhaiumk.exe
-- Real Hide.exe
-- soft loud tray.exe
-- zjyrasgj.exe
C:\Program Files\AtomExtra
-- JUMP TOOL.exe
C:\Documents and Settings\All Users\Application Data\balmactive64surf
-- birdsixth.exe
-- onedogcoal
-- Online Warn.exe
J'ai installé : Spybot S&D, Adaware 6 et Norton Av 2004. aucuns des 3 ne le trouve.
Ce que j'ai essayé:
- bloquer tout changement au niveau du registre avec spybot, d'effacer manuellement les valeurs dans le registre puis de reboot -> les spyware sont encore présents dans: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/current_version/run
- même technique qu'un peu plus haut mais à la différence près j'ai carrément fermé l'ordinateur par le bouton arrière qui active ou désactive le courrant.
les deux n'ont retourné aucune possibilité alors je me demande sérieusement d'ou peux venir le "reload" considérant que:
- aucune icone n'est présente dans le menu "démarrage" de windows
- aucun service (vu via MsConfig) n'est autre que de microsoft, norton, ou spybot.
J'ai également tenter de détruire carrément les dosssiers suscités cependant quand j'essaie ils sont protégés en écriture.
Je suis sur windows XP donc je peux oublier le delete via le "vrai" dos. Donc je me demande très sérieusement quelles seraient les avenues possibles à votre avis ?
Merci pour l'aide
Il a créé 3 dossier, c'est un searchassistant, voici les trois dossiers
C:\Program Files\AnteProgramBird
-- DC2E43D8
-- love blah.exe
-- lqhaiumk.exe
-- Real Hide.exe
-- soft loud tray.exe
-- zjyrasgj.exe
C:\Program Files\AtomExtra
-- JUMP TOOL.exe
C:\Documents and Settings\All Users\Application Data\balmactive64surf
-- birdsixth.exe
-- onedogcoal
-- Online Warn.exe
J'ai installé : Spybot S&D, Adaware 6 et Norton Av 2004. aucuns des 3 ne le trouve.
Ce que j'ai essayé:
- bloquer tout changement au niveau du registre avec spybot, d'effacer manuellement les valeurs dans le registre puis de reboot -> les spyware sont encore présents dans: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/current_version/run
- même technique qu'un peu plus haut mais à la différence près j'ai carrément fermé l'ordinateur par le bouton arrière qui active ou désactive le courrant.
les deux n'ont retourné aucune possibilité alors je me demande sérieusement d'ou peux venir le "reload" considérant que:
- aucune icone n'est présente dans le menu "démarrage" de windows
- aucun service (vu via MsConfig) n'est autre que de microsoft, norton, ou spybot.
J'ai également tenter de détruire carrément les dosssiers suscités cependant quand j'essaie ils sont protégés en écriture.
Je suis sur windows XP donc je peux oublier le delete via le "vrai" dos. Donc je me demande très sérieusement quelles seraient les avenues possibles à votre avis ?
Merci pour l'aide
Last edited by zak on 16 Aug 2004 - 19:00:17, edited 1 time in total.
<div></div>
[GEN] demande d'aide -> Spyware indestructible
Salut,
Alors tu as toujours ce site à essayer : http://www.secuser.com/antivirus/
Ensuite ce que tu peux faire c'est de renommer le max de dossiers et fichiers possible qui te fait "chi**" et de les mettre en Lecture seule ( Sans rien supprimer )
Et la tu reboot et tu supprimes tous et tu reboot encore ! Si sa revien encore... Autre méthode plus bas :chinois: !
Après ce que tu peux essayer si vraiment rien de marche c'est d'installer un autre OS ( Un truc vite fait qui ce prend sur le net en DL gratuit ) :
Sur une partition que tu créer avec Partition Magic, ou alors si ta deux HDD bah là c'est plus simple tu l'installes sur le HDD qui ne posséde pas les dossiers et fichier qui font "chi**"...
Donc ensuite tu lances l'OS qui n'est pas infecté et la tu essais de supprimer tous ce qui en à rapport avec les dossiers et fichiers qui font "chi**" sur l'OS infecté :siffle:
Après tu retournes sur ton OS principale et si tous est parti tu fait :
- Scan avec anti-virus en ligne
- Norton anti-virus 2004
- Ad-Aware 6
- ScanDisk
Et tu reboot et sa devrait être bon :unsure:
PS : Si j'ai d'autre idées j'éditerais ce post...
Alors tu as toujours ce site à essayer : http://www.secuser.com/antivirus/
Ensuite ce que tu peux faire c'est de renommer le max de dossiers et fichiers possible qui te fait "chi**" et de les mettre en Lecture seule ( Sans rien supprimer )
Et la tu reboot et tu supprimes tous et tu reboot encore ! Si sa revien encore... Autre méthode plus bas :chinois: !
Après ce que tu peux essayer si vraiment rien de marche c'est d'installer un autre OS ( Un truc vite fait qui ce prend sur le net en DL gratuit ) :
Sur une partition que tu créer avec Partition Magic, ou alors si ta deux HDD bah là c'est plus simple tu l'installes sur le HDD qui ne posséde pas les dossiers et fichier qui font "chi**"...
Donc ensuite tu lances l'OS qui n'est pas infecté et la tu essais de supprimer tous ce qui en à rapport avec les dossiers et fichiers qui font "chi**" sur l'OS infecté :siffle:
Après tu retournes sur ton OS principale et si tous est parti tu fait :
- Scan avec anti-virus en ligne
- Norton anti-virus 2004
- Ad-Aware 6
- ScanDisk
Et tu reboot et sa devrait être bon :unsure:
PS : Si j'ai d'autre idées j'éditerais ce post...
Last edited by Le Vampire on 16 Aug 2004 - 20:21:37, edited 1 time in total.
-
- Lieutenant
- Posts: 382
- Joined: 14 Oct 2002 - 05:35:20
- Location: Quelque part, mais pas ici
- Contact:
[GEN] demande d'aide -> Spyware indestructible
J'ai finalement été au plus simple, delete les dossiers de pub sur la session administrateur et ensuite vu que le système était toujours instable j'ai carrément été à l'arrachée avec la restauration système et hop on en parle plus
<div></div>
[GEN] demande d'aide -> Spyware indestructible
Moi le seul nom qui me vient à l'esprit est HijackThis, un petit quote d'un post interessant qui n'est pas de moi :
Pour ce qui ne connaisse pas HijackThis, ce logiciel est un puissant scan général qui permet de relever tous les composants, entrées clés de registres, executables etcc sur votre PC et ainsi de mettre le doigt sur différentes formes de nuisances : dll suspect, injection de code sous IE, entrées bizarres, clé de registres pas net... bref il appronfondit instantanément la recherche beaucoup plus que Ad aware ou spy bot
Bon pour ceux qui ne l'ont jamais utilisé, un petit tour ici :
http://telechargement.zebulon.fr/license-1-138.html
Pas besoin d'explications extrèmes car plus simple y'a pas... un ti clik sur scan..et la oh plein de charabia.... mise à part quelques infos compréhensibles, l faut avouer qu'on se dit "tout va bien sur mon pc, tout va bien...lol"
La les choses se compliquent, comment savoir ce qui est bon , ce qui n'est pas bon??
La première chose a repérer sont les indicatifs à chaque entrée :
Il faut donc se repérer à ce tableau qui est la base de tout :
R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreints par l'Administrateur
O7 - Accès à Regedit restreints par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables de la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
VOus êtes concerné par un pb?La suite est en dessous :
R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
Ce à quoi çà ressemble :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire :
Si vous reconnaissez l'adresse à la fin de la ligne comme votre page de démarrage ou votre moteur de recherche, c'est bon. sinon, cochez la et HijackThis la corrigera (bouton "Fix It").
Pour les éléments R3, corrigez les toujours sauf si çà concerne un programme que vous reconnaissez, comme Copernic.
F0, F1 - Programmes chargés automatiquement -fichiers .INI
Ce à quoi çà ressemble :
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire :
Les éléments F0 sont toujours nuisibles, donc corrigez les.
Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc vous devriez obtenir plus d'informations à partir de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
La "Startup List de Pacman" peut vous aider à identifier un élément.
N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
Ce à quoi çà ressemble :
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire :
D'habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes. Elles sont rarement piratées ; seul Lop.com est connu pour ce faire. Si vous voyiez une adresse que vous ne reconnaitriez pas comme votre page de démarrage ou de recherche, faites la corriger par HijackThis.
O1 - Redirections dans le fichier Hosts
Ce à quoi çà ressemble :
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Que faire :
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, vous serez redirigé vers un mauvais site chaque fois que vous entrerez cette adresse. Vous pouvez toujours les faire corriger par HijackThis, sauf si vous avez mis ces lignes à bon escient dans votre fichier Hosts.
Le dernier élément est quelquefois rencontré dans 2000/XP lors d'une infection Coolwebsearch. Corrigez toujours cet élément, ou faites le réparer automatiquement par CWShredder.
O2 - Browser Helper Objects
Ce à quoi çà ressemble :
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object, utilisez la "BHO & Toolbar List de TonyK" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la BHO List, 'X' signifie spyware et 'L' signifie bon.
O3 - Barres d'outils d'IE
Ce à quoi çà ressemble :
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object's, utilisez la "BHO & Toolbar List de TonyK" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la Toolbar List, 'X' signifie spyware et 'L' signifie bon.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
Ce à quoi çà ressemble :
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire :
Utilisez la Startup List de Pacman pour y trouver l'élément et déterminer s'il est bon ou nuisible.
Si l'élément indique un programme situé dans le groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.
O5 - Options IE non visibles dans le Panneau de configuration
Ce à quoi çà ressemble :
O5 - control.ini: inetcpl.cpl=no
Que faire :
Sauf si vous ou votre administrateur système avez caché l'icône à bon escient dans le Panneau de configuration, faites réparer par HijackThis.
O6 - Accès aux options IE restreints par l'Administrateur
Ce à quoi çà ressemble :
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Que faire :
Sauf si vous avez activé l'option "Lock homepage from changes" (verrouiller le changement de page de démarrage) dans Spybot S&D, ou si votre administrateur système l'a mise en place, faites réparer par HijackThis.
O7 - Accès à Regedit restreints par l'Administrateur
Ce à quoi çà ressemble :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Que faire :
Toujours faire réparer par HijackThis, à moins que vous administrateur système ait mis cette restriction en place.
O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Ce à quoi çà ressemble :
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Que faire :
Si vous ne reconnaissez pas le nom de l'élément dans le menu contextuel d'IE (clic droit), faites réparer par HijackThis.
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
Ce à quoi çà ressemble :
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire :
Si vous ne reconnaissez pas le nom du bouton ou de l'option du menu, faites réparer par HijackThis.
O10 - Pirates de Winsock
Ce à quoi çà ressemble :
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Que faire :
Mieux vaut les réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Notez que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Ce à quoi çà ressemble :
O11 - Options group: [CommonName] CommonName
Que faire :
Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options à la fenêtre "Avancé" des options d'IE, est CommonName. Donc faites toujours corriger par HijackThis.
O12 - Plugins d'IE
Ce à quoi çà ressemble :
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Que faire :
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
Ce à quoi çà ressemble :
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
Que faire :
Ceux-là sont toujours nuisibles. Faites réparer par HijackThis.
O14 - Piratage de "Reset Web Settings" (réinitialisation de la configuration Web)
Ce à quoi çà ressemble :
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Que faire :
Si l'URL n'est pas celle de votre Fournisseur d'Accès à Internet, faites réparer par HijackThis.
O15 - Sites indésirables de la Zone de confiance
Ce à quoi çà ressemble :
O15 - Trusted Zone: http://free.aol.com]http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire :
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance. Si vous n'avez pas vous-même ajouté le domaine affiché, dans la Zone de confiance, faites réparer par HijackThis.
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
Ce à quoi çà ressemble :
O16 - DPF: Yahoo! Chat - h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Que faire :
Si vous ne reconnaissez pas le nom de l'objet ou l'adresse à partir de laquelle il a été téléchargé, faites réparer par HijackThis. Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparez.
SpywareBlaster de Javacool a une immense base de données des objets ActiveX malicieux qui peuvent être utilisés pour vérifier les CLSID. (cliquez droit dans la liste pour utiliser la fonction de recherche.)
O17 - Piratage du domaine Lop.com
Ce à quoi çà ressemble :
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Que faire :
Si le domaine n'est pas celui de votre FAI ou du réseau de votre entreprise, faites réparer par HijackThis. Même chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), demandez à Google pour la ou les IP et çà sera facile de voir si c'est bon ou nuisible.
O18 - Pirates de protocole et de protocoles additionnels
Ce à quoi çà ressemble :
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire :
Seuls quelques pirates la ramène ici. Les néfates connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), vous devez les faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faites réparer par HijackThis.
O19 - Piratage de la feuille de style utilisateur
Ce à quoi çà ressemble :
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire :
Dans le cas d'un ralentissement du navigateur et de popups fréquents, faites réparer cet élément par HijackThis s'il apparaît dans la liste. Cependant, à partir du moment où seulement Coolwebsearch (http://www.spywareinfo.com/~merijn/cwschronicles.html) fait ceci, il est mieux d'utiliser CWShredder pour le corriger.
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
Ce à quoi çà ressemble :
O20 - AppInit_DLLs: msconfd.dll
Que faire :
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs.
Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d'édition de donnée binaire de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
Ce à quoi çà ressemble :
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
Ce à quoi çà ressemble :
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A traiter avec prudence
Voilà, je pense qu'avec tout ca, ca devient rassurant.. on passe du temps à bien analyser mais après, on se rassurer un peu...
Attention, pensez toujours à faire un back up avant toute réparation ou suppression (fonction fix cheked)
Pour ce qui ne connaisse pas HijackThis, ce logiciel est un puissant scan général qui permet de relever tous les composants, entrées clés de registres, executables etcc sur votre PC et ainsi de mettre le doigt sur différentes formes de nuisances : dll suspect, injection de code sous IE, entrées bizarres, clé de registres pas net... bref il appronfondit instantanément la recherche beaucoup plus que Ad aware ou spy bot
Bon pour ceux qui ne l'ont jamais utilisé, un petit tour ici :
http://telechargement.zebulon.fr/license-1-138.html
Pas besoin d'explications extrèmes car plus simple y'a pas... un ti clik sur scan..et la oh plein de charabia.... mise à part quelques infos compréhensibles, l faut avouer qu'on se dit "tout va bien sur mon pc, tout va bien...lol"
La les choses se compliquent, comment savoir ce qui est bon , ce qui n'est pas bon??
La première chose a repérer sont les indicatifs à chaque entrée :
Il faut donc se repérer à ce tableau qui est la base de tout :
R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreints par l'Administrateur
O7 - Accès à Regedit restreints par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables de la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
VOus êtes concerné par un pb?La suite est en dessous :
R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
Ce à quoi çà ressemble :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire :
Si vous reconnaissez l'adresse à la fin de la ligne comme votre page de démarrage ou votre moteur de recherche, c'est bon. sinon, cochez la et HijackThis la corrigera (bouton "Fix It").
Pour les éléments R3, corrigez les toujours sauf si çà concerne un programme que vous reconnaissez, comme Copernic.
F0, F1 - Programmes chargés automatiquement -fichiers .INI
Ce à quoi çà ressemble :
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire :
Les éléments F0 sont toujours nuisibles, donc corrigez les.
Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc vous devriez obtenir plus d'informations à partir de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
La "Startup List de Pacman" peut vous aider à identifier un élément.
N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
Ce à quoi çà ressemble :
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire :
D'habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes. Elles sont rarement piratées ; seul Lop.com est connu pour ce faire. Si vous voyiez une adresse que vous ne reconnaitriez pas comme votre page de démarrage ou de recherche, faites la corriger par HijackThis.
O1 - Redirections dans le fichier Hosts
Ce à quoi çà ressemble :
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Que faire :
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, vous serez redirigé vers un mauvais site chaque fois que vous entrerez cette adresse. Vous pouvez toujours les faire corriger par HijackThis, sauf si vous avez mis ces lignes à bon escient dans votre fichier Hosts.
Le dernier élément est quelquefois rencontré dans 2000/XP lors d'une infection Coolwebsearch. Corrigez toujours cet élément, ou faites le réparer automatiquement par CWShredder.
O2 - Browser Helper Objects
Ce à quoi çà ressemble :
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object, utilisez la "BHO & Toolbar List de TonyK" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la BHO List, 'X' signifie spyware et 'L' signifie bon.
O3 - Barres d'outils d'IE
Ce à quoi çà ressemble :
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object's, utilisez la "BHO & Toolbar List de TonyK" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la Toolbar List, 'X' signifie spyware et 'L' signifie bon.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
Ce à quoi çà ressemble :
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire :
Utilisez la Startup List de Pacman pour y trouver l'élément et déterminer s'il est bon ou nuisible.
Si l'élément indique un programme situé dans le groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.
O5 - Options IE non visibles dans le Panneau de configuration
Ce à quoi çà ressemble :
O5 - control.ini: inetcpl.cpl=no
Que faire :
Sauf si vous ou votre administrateur système avez caché l'icône à bon escient dans le Panneau de configuration, faites réparer par HijackThis.
O6 - Accès aux options IE restreints par l'Administrateur
Ce à quoi çà ressemble :
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Que faire :
Sauf si vous avez activé l'option "Lock homepage from changes" (verrouiller le changement de page de démarrage) dans Spybot S&D, ou si votre administrateur système l'a mise en place, faites réparer par HijackThis.
O7 - Accès à Regedit restreints par l'Administrateur
Ce à quoi çà ressemble :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Que faire :
Toujours faire réparer par HijackThis, à moins que vous administrateur système ait mis cette restriction en place.
O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Ce à quoi çà ressemble :
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Que faire :
Si vous ne reconnaissez pas le nom de l'élément dans le menu contextuel d'IE (clic droit), faites réparer par HijackThis.
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
Ce à quoi çà ressemble :
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire :
Si vous ne reconnaissez pas le nom du bouton ou de l'option du menu, faites réparer par HijackThis.
O10 - Pirates de Winsock
Ce à quoi çà ressemble :
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Que faire :
Mieux vaut les réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Notez que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Ce à quoi çà ressemble :
O11 - Options group: [CommonName] CommonName
Que faire :
Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options à la fenêtre "Avancé" des options d'IE, est CommonName. Donc faites toujours corriger par HijackThis.
O12 - Plugins d'IE
Ce à quoi çà ressemble :
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Que faire :
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
Ce à quoi çà ressemble :
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
Que faire :
Ceux-là sont toujours nuisibles. Faites réparer par HijackThis.
O14 - Piratage de "Reset Web Settings" (réinitialisation de la configuration Web)
Ce à quoi çà ressemble :
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Que faire :
Si l'URL n'est pas celle de votre Fournisseur d'Accès à Internet, faites réparer par HijackThis.
O15 - Sites indésirables de la Zone de confiance
Ce à quoi çà ressemble :
O15 - Trusted Zone: http://free.aol.com]http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire :
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance. Si vous n'avez pas vous-même ajouté le domaine affiché, dans la Zone de confiance, faites réparer par HijackThis.
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
Ce à quoi çà ressemble :
O16 - DPF: Yahoo! Chat - h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Que faire :
Si vous ne reconnaissez pas le nom de l'objet ou l'adresse à partir de laquelle il a été téléchargé, faites réparer par HijackThis. Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparez.
SpywareBlaster de Javacool a une immense base de données des objets ActiveX malicieux qui peuvent être utilisés pour vérifier les CLSID. (cliquez droit dans la liste pour utiliser la fonction de recherche.)
O17 - Piratage du domaine Lop.com
Ce à quoi çà ressemble :
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Que faire :
Si le domaine n'est pas celui de votre FAI ou du réseau de votre entreprise, faites réparer par HijackThis. Même chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), demandez à Google pour la ou les IP et çà sera facile de voir si c'est bon ou nuisible.
O18 - Pirates de protocole et de protocoles additionnels
Ce à quoi çà ressemble :
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire :
Seuls quelques pirates la ramène ici. Les néfates connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), vous devez les faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faites réparer par HijackThis.
O19 - Piratage de la feuille de style utilisateur
Ce à quoi çà ressemble :
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire :
Dans le cas d'un ralentissement du navigateur et de popups fréquents, faites réparer cet élément par HijackThis s'il apparaît dans la liste. Cependant, à partir du moment où seulement Coolwebsearch (http://www.spywareinfo.com/~merijn/cwschronicles.html) fait ceci, il est mieux d'utiliser CWShredder pour le corriger.
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
Ce à quoi çà ressemble :
O20 - AppInit_DLLs: msconfd.dll
Que faire :
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs.
Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d'édition de donnée binaire de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
Ce à quoi çà ressemble :
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
Ce à quoi çà ressemble :
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A traiter avec prudence
Voilà, je pense qu'avec tout ca, ca devient rassurant.. on passe du temps à bien analyser mais après, on se rassurer un peu...
Attention, pensez toujours à faire un back up avant toute réparation ou suppression (fonction fix cheked)
Last edited by cam on 18 Aug 2004 - 04:08:03, edited 1 time in total.
..::Cam::..
- pharaonix
- Lieutenant Colonel
- Posts: 1189
- Joined: 04 Oct 2002 - 19:54:51
- Location: au pantheon des dieux
- Contact:
[GEN] demande d'aide -> Spyware indestructible
sinon tu dis adaware, ais tu devrait tester la derniere version (appelée SE) il me semble que cest une des seuls qui detectent ien searchassistant. quant à psybot, il faut installer la version 1.3 pour pouvoir faire des mises a jours. (tres importantes car la 1.2 vacinait 584 spywares et la 1.3 de juiillet bloquait deja 1904 spywares)
Pharaonix
--==§§==-- TRAINERS CITY --==§§==--
-
- Global Moderator
- Posts: 882
- Joined: 22 Oct 2002 - 14:37:03
- Location: France
[GEN] demande d'aide -> Spyware indestructible
J'ai pas tout lu, vu que je suis encore en vacance j'ai pas le temps, :siffle: mais la prochaine fois essaies avec Pest Patrol.
Ps: Zak, change d'avatar.
Ps: Zak, change d'avatar.
Last edited by Steelskinz on 18 Aug 2004 - 16:38:56, edited 1 time in total.
-
- Lieutenant
- Posts: 382
- Joined: 14 Oct 2002 - 05:35:20
- Location: Quelque part, mais pas ici
- Contact:
[GEN] demande d'aide -> Spyware indestructible
pour AA j'ai pri sla version 6 pro, pour spybot la dernière disponible sur le marché
sinon Steel .... de quellle image tu parle au fait ? ^_^ genre c'Est un script alors bon je peux pas savoir il sélectionne dans un array par hazard
sinon Steel .... de quellle image tu parle au fait ? ^_^ genre c'Est un script alors bon je peux pas savoir il sélectionne dans un array par hazard
<div></div>
-
- Caporal Chef
- Posts: 43
- Joined: 20 Jan 2004 - 15:57:09
- Location: Val-Bélair ( Quebec )
- Contact:
[GEN] demande d'aide -> Spyware indestructible
Mouerf, t'a reussi avant que je puisse te conseiller
Je t'aurais proposé XTGold... c'ets un ti programme qui m'a sauvé la vie plus d'une fois... c comme du ms dos... mais rien n'est pris en charge avec... donc tu flush ce que tu veut sur ton ordi sans meme que windows soit ouvert ( donc rien protégé en ecriture )et meme si le fichier est locké par msdos... :siffle: sinon, bravo pour avoir pensé a la restauration, moi quand je la fais, je plante mon ordi... ( vive Ghost par ms dos.... ) je déteste la restauration par windows....
Je t'aurais proposé XTGold... c'ets un ti programme qui m'a sauvé la vie plus d'une fois... c comme du ms dos... mais rien n'est pris en charge avec... donc tu flush ce que tu veut sur ton ordi sans meme que windows soit ouvert ( donc rien protégé en ecriture )et meme si le fichier est locké par msdos... :siffle: sinon, bravo pour avoir pensé a la restauration, moi quand je la fais, je plante mon ordi... ( vive Ghost par ms dos.... ) je déteste la restauration par windows....
Are U Able 2 Fly ?
- Drizzt
- Global Moderator
- Posts: 454
- Joined: 15 Oct 2002 - 12:00:28
- Location: Canada/Quebec/Val-belair
[GEN] demande d'aide -> Spyware indestructible
Tu ment un peu la, il prend quand meme des trucs en charge, exemple le floppy, le clavier, le disque dur.... Donc dit pas il prend rien en charge...Mouerf, t'a reussi avant que je puisse te conseiller
Je t'aurais proposé XTGold... c'ets un ti programme qui m'a sauvé la vie plus d'une fois... c comme du ms dos... mais rien n'est pris en charge avec... donc tu flush ce que tu veut sur ton ordi sans meme que windows soit ouvert ( donc rien protégé en ecriture )et meme si le fichier est locké par msdos... :siffle: sinon, bravo pour avoir pensé a la restauration, moi quand je la fais, je plante mon ordi... ( vive Ghost par ms dos.... ) je déteste la restauration par windows....
--==§§==-- TRAINERS CITY --==§§==--
Logique et bon sens : Patron
Bon sens ss logique : Employé
Logique ss bon sens : Catastrophe
- Vinssent
- Administrateurs - Adjoint
- Posts: 1484
- Joined: 14 Oct 2002 - 15:32:16
- Location: Ville de Québec
- Contact:
[GEN] demande d'aide -> Spyware indestructible
Le clavier, le disque dur, les lecteurs CD, le floopy sont pris en charge par le DOS, XTGold n'apporte aucune prise en charge suplémentaire...Tu ment un peu la, il prend quand meme des trucs en charge, exemple le floppy, le clavier, le disque dur.... Donc dit pas il prend rien en charge...Mouerf, t'a reussi avant que je puisse te conseiller
Je t'aurais proposé XTGold... c'ets un ti programme qui m'a sauvé la vie plus d'une fois... c comme du ms dos... mais rien n'est pris en charge avec... donc tu flush ce que tu veut sur ton ordi sans meme que windows soit ouvert ( donc rien protégé en ecriture )et meme si le fichier est locké par msdos... :siffle: sinon, bravo pour avoir pensé a la restauration, moi quand je la fais, je plante mon ordi... ( vive Ghost par ms dos.... ) je déteste la restauration par windows....
Vinssent
--==§§==-- TRAINERS CITY --==§§==--
-
- Global Moderator
- Posts: 882
- Joined: 22 Oct 2002 - 14:37:03
- Location: France
[GEN] demande d'aide -> Spyware indestructible
Alucard biensur.sinon Steel .... de quellle image tu parle au fait ? ^_^ genre c'Est un script alors bon je peux pas savoir il sélectionne dans un array par hazard