ipl_001

Re, Sites.ini peut avoir divers usages... quelques pistes... Mets le contenu de Sites.ini dans un prochain post ! (source : http://securityresponse.symantec.com/avcen...ojan.pepop.html )Etudie les éléments fournis : (source : http://www.f-secure.com/v-descs/trdrsmwy.shtml )Etudie les éléments fournis :

Re, dw.log peut être plein de choses... une piste... (source : http://www.cdrom-drivers.com/drivers/142/142020.htm ) (source : http://members.driverguide.com/driver/deta...driverid=142020 )

Rebonjour romain75002, Stonangel, charles ingals, rebonjour à tous, La quarantaine, tu la vides (tu supprimes les fichiers !Je rappelle à ceux qui n'ont plus la chose en tête, qu'un virus doit être activé, chargé en mémoire d'une manière ou d'une autre pour pouvoir agir ! Il en est de même pour tout programme informatique : seuls les programmes chargés en mémoire ont acccès au processeur ! Je ne sais pas si des malwares sont capables de masquer leur présence parmi les processus (plusieurs programmes possibles pour lister) mais pour être actifs, il faut qu'ils soient activés ! La corbeille est susceptible -c'est le but- d'être vidée et ce n'est pas, à mon avis l'endroit idéal pour y conserver des fichiers ! Autant pour moi, comme le disent les militaires ! J'ai cru bien regarder et je n'ai rien vu ! La quarantaine, tu la vides de préférence avec le programme en charge de la quarantaine (NAV)Les dossiers de fichiers temporaires, tu les vides Pour tous les autres fichiers : Nous allons rechercher fichier par fichier, pour déterminer si le Web peut nous apporter des renseignements déterminants !

Rebonjour romain75002, rebonjour à tous, Tu as néanmoins avoir tous les documents nécessaires à la validation de ta version de Windows !!!Tu n'as plus beaucoup de mises à jour système pour Windows 9x. Par le passé, il n'y avait pas de problèmes pour les WindowsUpdates des versions illégales car MicroSoft préférait que les "pirates" viennent effectuer les maj plutôt que d'entendre dire que le programme Windows était une passoire ! As-tu encore Norton ?Tu as listé 2 fois le même fichier Threxcl.dat ! Lorsque tu as de hésitations, je te conseille de copier les fichiers dans un répertoire "_ASupprimer" avant de les effacer (crée aussi un fichier texte listant l'emplacement de chaque fichier). Ainsi, tu pourras les remettre en place en cas de problème ou les supprimer définitivement dans 2 semaines ! Les fichiers en Quarantine peuvent être virés sans ennuis (mais si possible par la fonction de NAV). Les fichiers .LGC peuvent avoir de nombreuses origines -> http://filext.com/detaillist.php?extdetail=LGC

Rebonjour Stonangel, Oui, mais a-t-elle posté dans cette discussion ?Est-ce que chacun a la possibilité de supprimer son propre post (comme sur PCA) ?

Bonjour sixfrancs, bonjour à tous, J'espère que tu ne veux pas dire que tu as tous ces antivirus sur ton ordinateur !?!?!? Cà peut varier d'un système à l'autre en fonction de tes autres logiciels mais il est surprenant que tu aies plus de ralentissements qu'avec Norton AV ! J'ai utilisé NAV, AVG, Avast (pas en même temps) et je n'ai jamais de problème !

Bonjour à tous, Bonjour douds, on ne se croise plus très souvent ! Je ne veux pas lancer de polémique mais j'aime bien Ad-Aware ! En général, lorsque j'ai un système à nettoyer, je lance Ad-Aware avant SpyBot et SpyBot ne me trouve pratiquement rien (à part Alexa) mais il ne trouve rien sans doute parce qu'il passe en 2nd !

Bonjour charles ingals, romain75002, ngchrist, KennyCain, Stonangel, megataupe, bonjour à tous, Il n'y a pas de ligne O23 dans un rapport HJT Windows 9x ! Windows 98 Gold est, selon moi, une version piratée !

Bonjour à tous, Vous m'inquiétez ! Je viens de supprimer un post de quentin91 qui ne comportait que la reproduction des instructions de Stonangel... suivi d'un autre post, 3 minutes plus tard, qui reproduit ces mêmes instructions plus quelques lignes... Ensuite, je vois partout "bonjour angelique" et pas de post d'angelique ! ai-je fait des bêtises dans ma suppression ???

Hello Stonangel, Garde les au chaud, çà peut servir !

boubaka, n'as-tu pas par hasard, restauré tes fichiers et peut-être des fichiers infectés par la même occasion ?

Bonsoir Zonk, bonsoir à tous, Il existe (mais ils se font rares) des virus de Boot qui affectent la MBR.Il existe aussi de tès rares virus capables d'altérer le setup du Bios : Tchernobyl, par exemple ! Lors d'un formatage, prendre la précaution de détruire et reconstruire les partitions pour éliminer les virus de boot !

Bonsoir Stonangel ! Pour ceux qui trouveraient cette discussion, la résolution est dans un autre sujet : http://forum.zebulon.fr/index.php?showtopic=70549

Bonsoir romain75002, bonsoir à tous, Téléchargement -> http://www.avup.de/personal/en/avwinsfx.exe (cette page http://www.free-av.com/antivirus/allinonen.html ) megataupe, le lien que tu donnes est le lien de la Home page : l'URL ne change pas à cause des frames !

Rebonsoir à tous, Si j'ai écrit que Patrick Kolla n'avait pas en tête de commercialiser son produit, c'est parce qu'il a déjà eu de très nombreuses propositions et qu'il les a toujours repoussées !

Bonsoir charles ingals, bonsoir à tous, Je ne crois pas que Patrick Kolla ait en tête de le commercialiser !

Merci megataupe ! Bonsoir à tous !

Rebonsoir balltrap34, rebonsoir à tous, SpySherrif a l'air d'être une variante bien coriace !

Bonsoir balltrap34, Stonangel, tesgaz, bonsoir à tous, Un grand merci à balltrap34 pour nous rendre cette petite visite ! Merci à "l'équipe de CCM" ! Un autre outil contre smitfraud : smitfraud.reg de Grinler ( http://www.bleepingcomputer.com/files/reg/smitfraud.reg ) Article de Grinler -> http://www.bleepingcomputer.com/forums/How...aid-t17258.html --- discussion sur Geeks To Go -> http://www.geekstogo.com/forum/Icon_background-t37001.html Je n'ai pas eu la patience d'exploiter l'ensemble de cette discussion de 8 pages mais ils ont galéré et c'est toujours enrichissant de voir les conseillers dans les moments difficiles ! --- un peu de doc ( http://www.antivirusworld.com/articles/virus/smitfraud.php ) --- une discussion sur daniweb ( http://www.daniweb.com/techtalkforums/thre...post136277.html ) --- http://forums.us.dell.com/supportforums/bo...essage.id=40199

Bonsoir charles ingals, bonsoir à tous, Je te félicite pour ton examen minutieux ! Il convient sans doute de demander à alexou59 mais _Delete.exe est un programme classique à la fin des installations par "InstallShield" et qui fait le ménage dans les nombreux fichiers temporaires installés lors de l'installation d'un programme ! Mais tu as raison, le mieux est d'interroger alexou59 !

Bonsoir KennyCain, bonsoir à tous, Désolé de ne pas avoir le temps de regarder plus attentivement et de laisser à d'autres, le soin de te répondre !... Non, ne va pas sur les sites qui nécessite une parfaite sécurité car il y a au moins 2 lignes qui dénoncent un élément infectieux : O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe (source : http://castlecops.com/s7294-NvCplScan.html )

Bonsoir KennyCain, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! S'il te plaît, il faut démarrer une nouvelle discussion avec ton problème et ne pas squatter le sujet de romain75002 -> http://forum.zebulon.fr/index.php?showtopic=70508

Bonsoir à tous, Voici une demande de KennyCain qui avit été placée dans la discussion d'un autre membre : ---------- Bonsoir a tous , Mon pc est victime de ce malware et j'ai toutes les peines du monde à l'éliminer : j'ai supprimer les fichiers suspect dans le répertoire \systm32, utiliser "ad-ware" et "spybot" mais rien n'y fait, bien que je n'ai plus la croix blanche dans ma barre des taches et que mon bureau n'affiche plus le message d'avertissemnt "av gold" , mon bureau passe du blanc au gris sans afficher le fond d'écran microsoft. Alors voila j'ai suivi toutes les étapes afin d'établir un log hijackthis et demande de l'aide à toutes les âmes charitables de zebulon sur les points suivants: Est ce que je me suis bien débarrassé de ce malware? Et si oui est ce que je peux effectuer des paiments sur des sites securisés (tel que cdiscount ) sans risquer de me faire suivre à la trace par ce spyware ( bien que le risque zero n'existe pas) ?? Merci d'avance pour vos réponses Voila mon log: Logfile of HijackThis v1.99.1 Scan saved at 00:18:56, on 13/07/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing) O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe O4 - Startup: SpeedFan.lnk = D:\Program Files\SpeedFan\speedfan.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E5BAEEEE-4F3D-4E93-8FCF-D6E7845B19B2}: NameServer = 192.168.0.254 O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Bonsoir pomdorak, tesgaz, Pollux_63, bonsoir à tous, Je vais sans doute me faire enguirlander par tesgaz mais je ne vois rien d'infectieux dans ton rapport HijackThis !

Félicitations à Stonangel et aux autres intervenants ! Beau travail ! 1676 lectures de cette discussion !