j'ai un pb de virus et/ou de spyware dont 2 dll impossibles à
supprimer: opnli.dll et rqron.dll
voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 21:38:09, on 26/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
of course on effectue cette operation en mode sans echec et tout explorer ou internet explorer fermés...
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en mode sans echec (utilisés par un autre processus)
une idée ?
@+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
Yves Lambert
lancelot wrote:
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en mode sans echec (utilisés par un autre processus)
une idée ?
Quel processus les utilise, si windows ne trouve pas indiscret de le révéler ?
je n'utilise plus windows mais un peu de bon sens :
La procédure : virer les sauvegardes système (sauf le ghost fait après la dernière install sûre...) démarrer en mse supprimer les clés en utilisant hijackthis ou un autre outil (pas regedit...) utiliser le moins possible d'outil windoze à la limite si la partition système (*) n'est pas une parition ntfs démarrer sous (free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage arrêter le processus qui utilise les fichiers en question (rundll32 ne doit pas tourner en mse, si ?) supprimer les fichiers suspects redémarrer en mse. vérifier que les clés ont pas reparu sinon recommencer puis démarrer en pas à pas essayer de traiter le processus qui repond les spyware : c'est lui le vrai "méchant" -> vérifier s'il a la bonne signature etc.
(*) Si vous vous posez la question qué partition système ? Pour protéger vos données il serait sage qu'elles ne soient pas sur la me partition que le système. Enfin jdç....
lancelot wrote:
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le
ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en
mode sans echec
(utilisés par un autre processus)
une idée ?
Quel processus les utilise, si windows ne trouve pas indiscret de le
révéler ?
je n'utilise plus windows mais un peu de bon sens :
La procédure :
virer les sauvegardes système (sauf le ghost fait après la dernière
install sûre...)
démarrer en mse
supprimer les clés en utilisant hijackthis ou un autre outil (pas
regedit...) utiliser le moins possible d'outil windoze à la limite si la
partition système (*) n'est pas une parition ntfs démarrer sous
(free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage
arrêter le processus qui utilise les fichiers en question (rundll32 ne
doit pas tourner en mse, si ?)
supprimer les fichiers suspects
redémarrer en mse.
vérifier que les clés ont pas reparu
sinon recommencer puis démarrer en pas à pas
essayer de traiter le processus qui repond les spyware : c'est lui le
vrai "méchant" -> vérifier s'il a la bonne signature etc.
(*) Si vous vous posez la question qué partition système ?
Pour protéger vos données il serait sage qu'elles ne soient pas sur la
me partition que le système. Enfin jdç....
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en mode sans echec (utilisés par un autre processus)
une idée ?
Quel processus les utilise, si windows ne trouve pas indiscret de le révéler ?
je n'utilise plus windows mais un peu de bon sens :
La procédure : virer les sauvegardes système (sauf le ghost fait après la dernière install sûre...) démarrer en mse supprimer les clés en utilisant hijackthis ou un autre outil (pas regedit...) utiliser le moins possible d'outil windoze à la limite si la partition système (*) n'est pas une parition ntfs démarrer sous (free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage arrêter le processus qui utilise les fichiers en question (rundll32 ne doit pas tourner en mse, si ?) supprimer les fichiers suspects redémarrer en mse. vérifier que les clés ont pas reparu sinon recommencer puis démarrer en pas à pas essayer de traiter le processus qui repond les spyware : c'est lui le vrai "méchant" -> vérifier s'il a la bonne signature etc.
(*) Si vous vous posez la question qué partition système ? Pour protéger vos données il serait sage qu'elles ne soient pas sur la me partition que le système. Enfin jdç....
rm
O20 - Winlogon Notify: opnli - C:WINDOWSSYSTEM32opnli.dll O20 - Winlogon Notify: rqron - C:WINDOWSSystem32rqron.dll on coche les 2
of course on effectue cette operation en mode sans echec et tout explorer ou internet explorer fermés...
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en mode sans echec (utilisés par un autre processus)
une idée ?
salut,
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS http://www.diamondcs.com.au/index.php?page=apm-example s'il est possible de localiser les exécutables qui auraient chargé ces dll malsaines et le cas échéant tenter de décharger la dll (clic droit > unload dll voir http://www.diamondcs.com.au/index.php?page=apm-example) en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et essayer de fermer tous les processus (explorer.exe et probablement quelques autres) qui "utilisent" cette dll et via une invite de commande (CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
@+ -- rm
O20 - Winlogon Notify: opnli - C:WINDOWSSYSTEM32opnli.dll
O20 - Winlogon Notify: rqron - C:WINDOWSSystem32rqron.dll
on coche les 2
of course on effectue cette operation en mode sans echec et tout
explorer ou internet explorer fermés...
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le
ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en
mode sans echec
(utilisés par un autre processus)
une idée ?
salut,
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS
http://www.diamondcs.com.au/index.php?page=apm-example
s'il est possible de localiser les exécutables qui auraient chargé ces dll
malsaines et le cas échéant tenter de décharger la dll (clic droit > unload
dll voir http://www.diamondcs.com.au/index.php?page=apm-example)
en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et
essayer de fermer tous les processus (explorer.exe et probablement quelques
autres) qui "utilisent" cette dll et via une invite de commande
(CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la
console de récuprération, soit directement via le menu de démarrage XP si
elle a été préalablement "installée", soit en bootant sur CD XP (touche R,
quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll)
du dossier windowssystem32 en général les deux fichiers suspects (ainsi
que les probables autres fichiers *identiquement* horadatés, qu'il faudra
tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
of course on effectue cette operation en mode sans echec et tout explorer ou internet explorer fermés...
OK mais j'ai déjà essayé et Hijackthis ne parvient pas à faire le ménage même en mode sans echec
manuellement impossible de supprimer opnli.dll et rqron.dll même en mode sans echec (utilisés par un autre processus)
une idée ?
salut,
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS http://www.diamondcs.com.au/index.php?page=apm-example s'il est possible de localiser les exécutables qui auraient chargé ces dll malsaines et le cas échéant tenter de décharger la dll (clic droit > unload dll voir http://www.diamondcs.com.au/index.php?page=apm-example) en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et essayer de fermer tous les processus (explorer.exe et probablement quelques autres) qui "utilisent" cette dll et via une invite de commande (CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
@+ -- rm
leurre-ro.nald
On Tue, 27 Jun 2006 09:13:19 +0200, rm wrote:
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS http://www.diamondcs.com.au/index.php?page=apm-example s'il est possible de localiser les exécutables qui auraient chargé ces dll malsaines et le cas échéant tenter de décharger la dll (clic droit > unload dll voir http://www.diamondcs.com.au/index.php?page=apm-example) en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et essayer de fermer tous les processus (explorer.exe et probablement quelques autres) qui "utilisent" cette dll et via une invite de commande (CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
merci de vouloir m'aider mais ce site est en anglais et j'ai du mal à
comprendre c'est quoi APM un soft à telecharger ? il est où ?
@+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
On Tue, 27 Jun 2006 09:13:19 +0200, rm <ramon@tffp.invalid> wrote:
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS
http://www.diamondcs.com.au/index.php?page=apm-example
s'il est possible de localiser les exécutables qui auraient chargé ces dll
malsaines et le cas échéant tenter de décharger la dll (clic droit > unload
dll voir http://www.diamondcs.com.au/index.php?page=apm-example)
en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et
essayer de fermer tous les processus (explorer.exe et probablement quelques
autres) qui "utilisent" cette dll et via une invite de commande
(CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
merci de vouloir m'aider mais ce site est en anglais et j'ai du mal à
comprendre
c'est quoi APM un soft à telecharger ?
il est où ?
@+
Lancelot
ATTENTION: supprimer leurre- de mon adresse
pour me repondre
oui, quelques idées pour ces fameux O20 - Winlogon Notify :)
d'abord essayer de voir avec APM de diamondCS http://www.diamondcs.com.au/index.php?page=apm-example s'il est possible de localiser les exécutables qui auraient chargé ces dll malsaines et le cas échéant tenter de décharger la dll (clic droit > unload dll voir http://www.diamondcs.com.au/index.php?page=apm-example) en cas d'échec de déchargement de ces dll, redémarrer en mode sans échec et essayer de fermer tous les processus (explorer.exe et probablement quelques autres) qui "utilisent" cette dll et via une invite de commande (CTRL+ALT+DEL > fichier > exécuter > cmd) supprimer les dll en question
merci de vouloir m'aider mais ce site est en anglais et j'ai du mal à
comprendre c'est quoi APM un soft à telecharger ? il est où ?
@+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
leurre-ro.nald
On Tue, 27 Jun 2006 03:42:40 +0200, Yves Lambert wrote:
La procédure : virer les sauvegardes système (sauf le ghost fait après la dernière install sûre...) démarrer en mse supprimer les clés en utilisant hijackthis ou un autre outil (pas regedit...) utiliser le moins possible d'outil windoze à la limite si la partition système (*) n'est pas une parition ntfs démarrer sous (free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage arrêter le processus qui utilise les fichiers en question (rundll32 ne doit pas tourner en mse, si ?) supprimer les fichiers suspects redémarrer en mse. vérifier que les clés ont pas reparu sinon recommencer puis démarrer en pas à pas essayer de traiter le processus qui repond les spyware : c'est lui le vrai "méchant" -> vérifier s'il a la bonne signature etc.
hélas c'est une partition NTFS et je ne connais pas de solution pour accéder aux fichiers sans booter sur le disque dur
A+ @+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
On Tue, 27 Jun 2006 03:42:40 +0200, Yves Lambert <feedme@bidart.net>
wrote:
La procédure :
virer les sauvegardes système (sauf le ghost fait après la dernière
install sûre...)
démarrer en mse
supprimer les clés en utilisant hijackthis ou un autre outil (pas
regedit...) utiliser le moins possible d'outil windoze à la limite si la
partition système (*) n'est pas une parition ntfs démarrer sous
(free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage
arrêter le processus qui utilise les fichiers en question (rundll32 ne
doit pas tourner en mse, si ?)
supprimer les fichiers suspects
redémarrer en mse.
vérifier que les clés ont pas reparu
sinon recommencer puis démarrer en pas à pas
essayer de traiter le processus qui repond les spyware : c'est lui le
vrai "méchant" -> vérifier s'il a la bonne signature etc.
hélas c'est une partition NTFS et je ne connais pas de solution pour
accéder aux fichiers sans booter sur le disque dur
A+
@+
Lancelot
ATTENTION: supprimer leurre- de mon adresse
pour me repondre
On Tue, 27 Jun 2006 03:42:40 +0200, Yves Lambert wrote:
La procédure : virer les sauvegardes système (sauf le ghost fait après la dernière install sûre...) démarrer en mse supprimer les clés en utilisant hijackthis ou un autre outil (pas regedit...) utiliser le moins possible d'outil windoze à la limite si la partition système (*) n'est pas une parition ntfs démarrer sous (free)dos ou sous *ix (bsd ou linux-live) pour finir le nettoyage arrêter le processus qui utilise les fichiers en question (rundll32 ne doit pas tourner en mse, si ?) supprimer les fichiers suspects redémarrer en mse. vérifier que les clés ont pas reparu sinon recommencer puis démarrer en pas à pas essayer de traiter le processus qui repond les spyware : c'est lui le vrai "méchant" -> vérifier s'il a la bonne signature etc.
hélas c'est une partition NTFS et je ne connais pas de solution pour accéder aux fichiers sans booter sur le disque dur
A+ @+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
rm
c'est quoi APM un soft à telecharger ?
Oui. "Advanced Process Manipulation" ou, en français, "Tripoteur de processus tiptop"
il est où ?
Pardon. J'ai collé les deux mêmes url. APM est là : http://www.diamondcs.com.au/index.php?page=apm cliquer sur le gros bouton bleu "free download" :-D
@+ -- rm
c'est quoi APM un soft à telecharger ?
Oui. "Advanced Process Manipulation" ou, en français, "Tripoteur de
processus tiptop"
il est où ?
Pardon. J'ai collé les deux mêmes url.
APM est là : http://www.diamondcs.com.au/index.php?page=apm
cliquer sur le gros bouton bleu "free download" :-D
Oui. "Advanced Process Manipulation" ou, en français, "Tripoteur de processus tiptop"
______________________ Bonjour rm,
+1
tripoteur. :-)
J'aime bien cette traduction de APM.
C'est juste pour sourire, et cela évoque bien ce que l'on veut dire et c'est parlant.
Il est vrai que pour les mots techniques anglais/ US, parfois, en français il n'y a pas vraiment le choix et je n'aurais pas fait mieux.
entre tripoteur / bidouilleur il n'y avait pas vraiment le choix.
Bonne journée,
Amicalement, -- NyC -nocomprendo-
return adress valid
leurre-ro.nald
On Tue, 27 Jun 2006 09:13:19 +0200, rm wrote:
d'abord essayer de voir avec APM de diamondCS
j'ai testé APM il me dit que c'est winlogon (ouverture de session) qui charge les 2 DLL vérolées que je parviens pas à supprimer si j'essaie de les décharger XP se plante
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll et ça a l'air d'avoir fonctionné
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
merci beaucoup @+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
On Tue, 27 Jun 2006 09:13:19 +0200, rm <ramon@tffp.invalid> wrote:
d'abord essayer de voir avec APM de diamondCS
j'ai testé APM
il me dit que c'est winlogon (ouverture de session) qui charge les 2
DLL vérolées que je parviens pas à supprimer
si j'essaie de les décharger XP se plante
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la
console de récuprération, soit directement via le menu de démarrage XP si
elle a été préalablement "installée", soit en bootant sur CD XP (touche R,
quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll)
du dossier windowssystem32 en général les deux fichiers suspects (ainsi
que les probables autres fichiers *identiquement* horadatés, qu'il faudra
tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll
et ça a l'air d'avoir fonctionné
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
merci beaucoup
@+
Lancelot
ATTENTION: supprimer leurre- de mon adresse
pour me repondre
j'ai testé APM il me dit que c'est winlogon (ouverture de session) qui charge les 2 DLL vérolées que je parviens pas à supprimer si j'essaie de les décharger XP se plante
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll et ça a l'air d'avoir fonctionné
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
merci beaucoup @+ Lancelot
ATTENTION: supprimer leurre- de mon adresse pour me repondre
rm
Salut,
On Tue, 27 Jun 2006 09:13:19 +0200, rm wrote:
[...]
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll et ça a l'air d'avoir fonctionné
c'est radical, forcément.
il est fort possible qu'il reste, en %windir%system32, des exécutables ou autres fichiers (*.tmp) qui font partie de la même bestiole. Si tu avais noté l'horodate des fichiers supprimés, tu pourras tenter de les repérer sous windows (plus facile qu'en console) et les soumettre à un antivirus en ligne avant de les supprimer. Comme ça tu sauras au moins qui tu as tué :-D Si tu ne te souviens plus de l'horodate, pose toi des questions sur les fichiers les plus récents situés dans ton dossier système, ceux qui auraient un nom tout bizarre, ou n'auraient pas d'onglet "version" dans leur "propriétés" par exemple, les douteux quoi...
Pense aussi à purger la restauration système, afin de ne pas restaurer un beau jour, les dll malfaisantes...
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
effectivement quitte à nettoyer, autant faire briller :)
@+ -- rm
Salut,
On Tue, 27 Jun 2006 09:13:19 +0200, rm <ramon@tffp.invalid> wrote:
[...]
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la
console de récuprération, soit directement via le menu de démarrage XP si
elle a été préalablement "installée", soit en bootant sur CD XP (touche R,
quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll)
du dossier windowssystem32 en général les deux fichiers suspects (ainsi
que les probables autres fichiers *identiquement* horadatés, qu'il faudra
tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll
et ça a l'air d'avoir fonctionné
c'est radical, forcément.
il est fort possible qu'il reste, en %windir%system32, des exécutables ou
autres fichiers (*.tmp) qui font partie de la même bestiole.
Si tu avais noté l'horodate des fichiers supprimés, tu pourras tenter de
les repérer sous windows (plus facile qu'en console) et les soumettre à un
antivirus en ligne avant de les supprimer. Comme ça tu sauras au moins qui
tu as tué :-D
Si tu ne te souviens plus de l'horodate, pose toi des questions sur les
fichiers les plus récents situés dans ton dossier système, ceux qui
auraient un nom tout bizarre, ou n'auraient pas d'onglet "version" dans
leur "propriétés" par exemple, les douteux quoi...
Pense aussi à purger la restauration système, afin de ne pas restaurer un
beau jour, les dll malfaisantes...
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
effectivement quitte à nettoyer, autant faire briller :)
en cas d'impossibilité (ça arrive, j'ai testé hier!), il faudra user de la console de récuprération, soit directement via le menu de démarrage XP si elle a été préalablement "installée", soit en bootant sur CD XP (touche R, quand proposée), pour supprimer (commande del opnli.dll et del rqron.dll) du dossier windowssystem32 en général les deux fichiers suspects (ainsi que les probables autres fichiers *identiquement* horadatés, qu'il faudra tenter de repérer _attentivement_ à l'aide d'une commande dir bien sentie)
j'ai suivi tes instruction en bootant sur le CD
et en supprimant manuellement opnli.dll et rqron.dll et ça a l'air d'avoir fonctionné
c'est radical, forcément.
il est fort possible qu'il reste, en %windir%system32, des exécutables ou autres fichiers (*.tmp) qui font partie de la même bestiole. Si tu avais noté l'horodate des fichiers supprimés, tu pourras tenter de les repérer sous windows (plus facile qu'en console) et les soumettre à un antivirus en ligne avant de les supprimer. Comme ça tu sauras au moins qui tu as tué :-D Si tu ne te souviens plus de l'horodate, pose toi des questions sur les fichiers les plus récents situés dans ton dossier système, ceux qui auraient un nom tout bizarre, ou n'auraient pas d'onglet "version" dans leur "propriétés" par exemple, les douteux quoi...
Pense aussi à purger la restauration système, afin de ne pas restaurer un beau jour, les dll malfaisantes...
j'ai pu ensuite nettoyer un peu plus avec Hijackthis ce qui restait
effectivement quitte à nettoyer, autant faire briller :)