ipl_001

Bonsoir phil34, bonsoir à tous, >en à tous cas MERCI à IPL001 et tous les intervenants. De rien phil34 ! Tant mieux que les choses semblent s'améliorer ! Bonne chance pour ta connexion ! Donne des nouvelles dès que tu le peux !

Bonsoir eile le n'ange, bonsoir à tous, Télécharge le logiciel antitroyen A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; lance le et supprime tout ce qu'il trouve

Bonsoir Fanonet, Jack_Burton, Champagne, megataupe, Sebastien.B, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Déroule la procédure indiquée par megataupe...

Zut ! Je ne vous souhaiterai pas de bonnes fêtes, alors !

Rebonjour sasadudesert, megataupe, charles ingals, rebonjour à tous, Eh bien ! Tu en as des lignes à supprimer !!! Tu as plusieurs malwares dont Agobot, RBot, ForBot, etc. Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre l'ordinateur en mode sans échec. Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous : R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [tI3px] C:\WINDOWS\psneo.exe O4 - HKLM\..\Run: [notes] notes.exe O4 - HKLM\..\Run: [dalwpkn] C:\WINDOWS\dalwpkn.exe O4 - HKLM\..\Run: [MS Unix Binary] cssrs.exe O4 - HKLM\..\Run: [abasa5jrp] C:\WINDOWS\System32\abasa5jrp.exe O4 - HKLM\..\Run: [AutoLoaderps7q1YPkVJXZ] "C:\WINDOWS\System32\txftapi.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPls" O4 - HKLM\..\Run: [pFoW3sS] txftapi.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows Services Management System] srvmngt.exe O4 - HKLM\..\Run: [xpiupdate] xpiupdate.exe O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe O4 - HKLM\..\Run: [service] wN2S.exe O4 - HKLM\..\Run: [Logitechs] Logitechs.exe O4 - HKLM\..\Run: [NvCplScan] kav32.exe O4 - HKLM\..\Run: [inapjh] c:\windows\system32\lyvxfbi.exe r O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe O4 - HKLM\..\RunServices: [notes] notes.exe O4 - HKLM\..\RunServices: [MS Unix Binary] cssrs.exe O4 - HKLM\..\RunServices: [Windows Services Management System] srvmngt.exe O4 - HKLM\..\RunServices: [xpiupdate] xpiupdate.exe O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe O4 - HKLM\..\RunServices: [service] wN2S.exe O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe O4 - HKLM\..\RunServices: [NvCplScan] kav32.exe O4 - HKCU\..\Run: [Windows Services Management System] srvmngt.exe O4 - HKCU\..\Run: [Yo76RiemO] tsderial.exe O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [MS Unix Binary] cssrs.exe O4 - HKCU\..\Run: [xpiupdate] xpiupdate.exe O4 - HKCU\..\Run: [NvCplScan] kav32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...bridge-c267.cab O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/59ebd971/enter.cab O16 - DPF: {5A24E056-1511-3E9A-03EF-1BED45544ADA} - http://63.219.176.203/1/gdnFR513.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) - Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - Supprime les fichiers/dossiers incriminés (s'ils existent encore). Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers : --- C:\WINDOWS\dalwpkn.exe --- C:\WINDOWS\Nail.exe --- C:\WINDOWS\psneo.exe --- C:\WINDOWS\System32\abasa5jrp.exe --- C:\WINDOWS\System32\ap9h4qmo.exe --- c:\windows\system32\lyvxfbi.exe --- C:\WINDOWS\System32\txftapi.exe --- C:\WINDOWS\web\related.htm (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- cdaccess6.exe --- cssrs.exe --- kav32.exe --- Logitechs.exe --- MSAOL32.exe --- MSMSN32.exe --- notes.exe --- srvmngt.exe --- tsderial.exe --- wN2S.exe --- xpiupdate.exe En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir sasadudesert, megataupe, charles ingals, bonsoir à tous, sasadudesert, est-ce que ce post (aujourd'hui à 20h16) a été fait après la partie Antivir, etc. ? Bien, je fusionne les 2 discussions ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Oui, fais le en mode sans échec, eile le n'ange !

Bonsoir eile le n'ange, bonsoir à tous, Renommer un fichier, par exemple de 1.dll en 1-dll.old permet de rendre le fichier inopérant !Un autre programme sensé le charger en mémoire ne le trouverait plus à cause du changement de nom ! Si, par malchance, c'était un fichier nécessaire au système, il serait facile de lui redonner son nom d'origine ! Si au bout de quelques jours, il n'y a pas eu de message de Windows protestant qu'un de ses fichiers a disparu, c'est qu'il était inutile (voire néfaste) et qu'on peut le supprimer définitivement !

Tout à fait d'accord avec la procédure proposée !

zorro51, merci pour ton post précieux !

Noisette, Voici une traduction automatique à la mode MicroSoft : La page us-en -> http://support.microsoft.com/?scid=kb;en-us;897079 La page fr correspondante -> http://support.microsoft.com/?scid=kb;fr;897079

Merci megataupe, La page Web de MicroSoft est intéressante ! La voici en Français : http://support.microsoft.com/?scid=kb;fr;897079 Cette page est en fait, une traduction automatique de la page us-en ! Voila qui amusera Noisette !

Bonsoir à tous, Voici les sites officiels pour le téléchargement d'HijackThis : -> Download from Merijn.org ( http://www.merijn.org/files/hijackthis.zip ) -> Download from Subratam ( http://downloads.subratam.org/hijackthis.zip ) -> Download from UniteTheCows ( http://www.unitethecows.com/software/HijackThis.exe ) -> Download from BleepingComputer ( http://www.bleepingcomputer.com/files/Merijn/HijackThis.zip ) -> Download from DKnoppix ( http://www.dknoppix.com/cgi-bin/download.cgi?HijackThis ) -> Download from SpywareInfo ( http://www.spywareinfo.com/~merijn/files/hijackthis.zip ) -> Download from ComputerCops ( http://computercops.biz/zx/Merijn/hijackthis.zip )

Bonsoir RAMBO085, Rafiot, bonsoir à tous, Ton système démarre-t-il normalement en mode sans échec ? Si oui, je te suggère la méthode suivante : Débranche le cable qui correspond à la liaison Internet Démarrer / Exécuter / tape MSconfig et clique sur OK Va dans l'onglet "Démarrage" Décoche toutes les lignes et redémarre en mode normal Si ton ordinateur démarre bien, coche les lignes une par une et redémarre... jusqu'à ce que tu aies le blocage ! Conseil : réactive (coche) en commençant par les éléments de sécurité (antivirus, pare-feu, etc.)

Merci pour ta réponse, PinGo1 ! Bonne soirée !

Bonsoir paco2101, megataupe, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Tes soucis constant d'infection sont dus au fait que ton système n'a jamais été mis à jour et se retrouve plein de failles de sécurité... des années de retard !

Rebonsoir EnZo, FLORIAN, patrick67, Stonangel, rebonsoir à tous, Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Télécharge et installe SpHjfix/SpSeHjfix de Seeker ( http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix ) Redémarre l'ordinateur en mode sans échec. Lance SpSeHjfix : . vider les fichiers Temp, le cache d'IE . lancer SpHjfix/SpSeHjfix à partir d'un répertoire alloué .. cliquer sur le bouton "start disinfection" .. en cas d'infection sp.exe, l'ordinateur est redémarré .. SpHjfix/SpSeHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours. . examiner, communiquer le fichier log généré . lancer Spybot Search and Destroy pour compléter la désinfection. Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : - désinstalle 1 de tes 2 antivirus Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bigbr.cc (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bigbr.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OLIVIE~1\LOCALS~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {01C22F3B-39A5-4014-A073-1C62BE6C174C} - C:\WINDOWS\System32\pehff.dll (file missing) O2 - BHO: (no name) - {6335ED84-08F8-4AE9-9146-47AFE2D98BC6} - (no file) O2 - BHO: (no name) - {73129294-DD48-4822-8D75-0B6A790ACA03} - (no file) O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) O3 - Toolbar: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O18 - Filter: text/html - {0A3A9032-646E-431B-8F4E-FD35985AB329} - C:\WINDOWS\System32\pehff.dll O18 - Filter: text/plain - {0A3A9032-646E-431B-8F4E-FD35985AB329} - C:\WINDOWS\System32\pehff.dll O21 - SSODL: System - {F9FE3752-8D94-48A2-924F-37AD810D501C} - (no file) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - suppression des éléments inutiles... --- suppression des fichiers inutiles par EasyCleaner-Inutile(s) --- vidage des zones de quarantaine éventuelles --- nettoyage de la base de registres par EasyCleaner-Registre Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Je fais remarquer que pehff.dll est signalé manquant dans la ligne O2 mais pas dans les lignes O18 ! Remplace la Machine Virtuelle Java de MicroSoft par celle de Sun MicroSystems en allant sur http:/www.java.com/

Bonsoir EnZo, FLORIAN, patrick67, Stonangel, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Bonsoir olives, megataupe, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Dès que tu auras posté ton nouveau rapport HijackThis, je l'analyserai et te dirai que corriger !

Bonsoir Jackysent, megataupe, bonsoir à tous, Il n'y a aucune anomalie ! -1- O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing LSPfix place automatiquement dans la colonne de droite, le(s) module(s) manquant(s) ! -2-3- La désinstallation de NewDotNet Par Ajout-Suppression de programme a enlevé la ligne 10 et le dossier C:\Program Files\NewDotNet Pour ce qui est des lignes O23 "file missing", il ne faut pas croire ce message car il y a un bug dans HijackThis ! De même dans le cas d'une ligne O9 les "file missing" sont parfois erronés !

J'apprécie de la part de Trend Micro !Les autres éditeurs n'ont pas fait cet effort !

Bonsoir eile le n'ange, bonsoir à tous, Merci pour ton nouveau rapport HijackThis : il est bien mieux ! Félicitations ! Pas grave pour les éléments qui n'étaient pas présents car avec les désinstallations effectuées, ils ont du être enlevés ! Il reste encore quelques lignes à cocher... Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous : O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

Le lien http://www.secuser.com/antivirus/ utilise en effet ActiveX et n'est pas utilisable par FireFox. (avec FireFox, tu reçois le message te reprochant de ne pas avoir ActiveX) En utilisant le lien http://fr.trendmicro-europe.com/consumer/h...call_launch.php , il n'y a plus de problème ! Il semble qu'il en est de même avec tous les liens actuels "HouseCall" comme http://housecall.trendmicro.com/housecall/start_corp.asp ; Trend Micro détecte les composants installés et adapte de procédure !

Bonsoir lilium, bonsoir à tous, (source : http://winoptimized.ifrance.com/reg.htm )

Stonangel demandait svrhost.exe... pas svchost.exe !