ipl_001

Bonsoir à tous, Avant de partir me coucher et en tant que modérateur du forum Sécurité, je voudrais remercier les membres qui ont animé la soirée et posté des choses très intéressantes ! Merci tesgaz, megataupe, Rafiot ! Merci à ceux que j'oublie ! Merci à tous ! Bonne nuit !

Rebonsoir Rafiot, rebonsoir à tous, Parcours l'article "Formation à l'analyse de rapports HijackThis" -> http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php ou -> http://gerard.melone.free.fr/IT/IT-HJT3-Tr.html#HJT3-Tr Non, pas un indice déterminant ! elle est légitime parce que l'adresse du fichier montre l'emplacement normal de MSconfig.exe !... il fallait lire la phrase qui suivait ce que tu as affiché... "**Note - this is not the legitimate msconfig.exe which should only appear in Msconfig/Startup if you leave the warning box unchecked after changing an Msconfig entry and rebooting" "no file" signifie que la ligne est incomplète car il manque l'indication du fichier et donc, on fixe !"no file" dans le cas d'une O9, je ne touche pas (même chose, même bug pour les O23)

Bonsoir Condor, megataupe, bonsoir à tous, Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 - télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau Redémarre l'ordinateur en mode sans échec. Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : - C:\PROGRAm Files\tsvsrwvt - NewDotNet - lancer LSPfix et se mettre en plein écran pour voir boutons et ascenseurs - fermer Internet Explorer et arrêter la connexion à Internet - cocher la case "I know what I'm doing" (je sais ce que je fais) - dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer - cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE - scroller et cliquer sur Finish. Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O4 - HKLM\..\Run: [eQFHY1Ex] C:\PROGRA~1\tsvsrwvt\RIwDCkRN.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_38.dll' missing Cette ligne O10 devrait disparaître par la désinstallation de l'application -si elle existe- ou par LSPfix O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.caramail.lycos.fr/app/upl...ileUploader.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/fr/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{2C256997-92CA-4248-8C3E-161189DF393B}: NameServer = 205.188.146.146 O17 - HKLM\System\CCS\Services\Tcpip\..\{6FB3249D-3A3E-4265-84AD-EEDD023209D3}: NameServer = 205.188.146.146 O17 - HKLM\System\CCS\Services\Tcpip\..\{C58D7C2D-C829-4CAF-9B9E-B5794CAF83B7}: NameServer = 205.188.146.146 O17 - HKLM\System\CCS\Services\Tcpip\..\{F5BEFAC4-D220-4CCA-AEA3-EE190AE44380}: NameServer = 205.188.146.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{2C256997-92CA-4248-8C3E-161189DF393B}: NameServer = 205.188.146.146 O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore). Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers : --- C:\PROGRA~1\tsvsrwvt (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Rebonsoir Nhorack, tesgaz, rebonsoir à tous, Comme un débutant, je poste vite un petit truc avant que tesgaz n'attaque l'optimisation ! LOL Il te faudra remplacer la Machine Virtuelle Java de MicroSoft par celle de Sun MicroSystems en allant sur http://www.java.com/

Bonsoir Rafiot, bonsoir à tous, Rafiot, merci pour ta participation ! Non, la ligne O4 ne correspond pas ici à un malware mais au programme légitime ! Mais de toute façon, une ligne msconfig.exe en O4 n'est jamais nécessaire ! Bien évidemment, il ne faut pas supprimer le programme MSconfig.exe (s'il est légitime) Non, il ne faut pas fixer la ligne O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) ou, du moins (pour ne pas irriter tesgaz), elle n'est pas néfaste ! Il y a un bug relatif aux lignes O9 et il faut s'en méfier ! Un "file missing" indique que le programme spécifié dans la ligne n'est pas sur le disque... comment veux-tu que http://www.wanadoo.fr soit sur le disque puisque c'est une URL ! Perso, je ne touche une O9 que s'il y a le message "no file" ou si il s'agit d'un malware ! Mais les O9 ne sont jamais nécessaires ! Tu peux allègrement faire fixer les O16 DPF ! Les O16 ne sont jamais nécessaires ! Ces O9, O16 "non nécessaires" servent tout de même, parfois, à dénoter la présence ou le passage d'un malware (on voit beaucoup de chose dans les O16 !)

Rebonsoir mattlou43, rebonsoir à tous, 544 Mo, çà commence a valoir le coup ! - ferme toutes tes fenêtres - ouvre l'Explorateur Windows - sélectionne le dossier Temporary Internet Files (C:\Documents and Settins\---ton ID---\Local Settings\Temporary Internet Files) - supprime tout ce qui se trouve à l'intérieur Tu ne laisses que Desktop.ini et index.dat (attention, les sous répertoires sont masqués) - patiente ! - si tu le peux, démarre sous un autre compte de manière à supprimer aussi index.dat - redémarre !

Rebonsoir xanti, megaaupe, rebonsoir à tous, Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre l'ordinateur en mode sans échec. Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes : - PSGuard Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - D:\WINDOWS\System32\hp6E96.tmp (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [bCMSMMSG] BCMSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AOLSAV] D:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe O4 - HKLM\..\Run: [AOLDialer] D:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [RegSvr32] D:\WINDOWS\System32\msmsgs.exe -> X msmsgs.exe Added by the Trojan.Zlob.B Trojan! -> http://securityresponse.symantec.com/avcen...jan.zlob.b.html O4 - HKLM\..\Run: [PSGuard] D:\Program Files\PSGuard\PSGuard.exe -> X PSGuard.exe Another smitfraud variant. O4 - HKLM\..\Run: [ClamWin] "D:\Program Files\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Icône AOL.lnk = D:\Program Files\AOL 9.0\aoltray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - D:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore). Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers : --- D:\WINDOWS\System32\msmsgs.exe --- D:\WINDOWS\web\related.htm --- D:\Program Files\PSGuard (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir xanti, megataupe, bonsoir à tous, Le log HJT est passé de 49 lignes à 35 ! C'est déjà bien (je ne parle pas des processus qui ne sont pas là pour géner le nettoyage) ! S'il te plaît, déplace le programme HijackThis car il ne faut pas le placer dans le dossier Temp sinon, il risque d'être supprimé et les fichiers backups qu'il crée, aussi ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonsoir mattlou43, rebonsoir à tous, Oui, c'est parce qu'il fait des megas et des megas... attends un peu !Il y a beaucoup de choses à supprimer et tu as l'impression que ton ordinateur est figé alors qu'il n'en est rien : le système met beaucoup de temps pour supprimer les centaines de milliers de fichiers ! N'oublie pas qu'il y a des sous répertoires à nettoyer aussi !

Tesgaz, ---édition : bonjour adams.familly ! Je te remercie pour ta patience ! Merci pour tes explications détaillées ! N'oublie pas qu'avec de tels posts, tu enseignes ta technique... continue avec ces détails et nous saurons, nous aussi, donner quelques directives d'optimisation dans quelque temps ! Zebulon est "le site de l'Optimisation PC", il faut qu'on prenne l'habitude (après avoir assimilé les bases) d'aller jusqu'à l'optimisation... pour ma part, j'ai besoin de tes détails car je suis toujours craintif ! Merci !

Bonsoir mattlou43, bonsoir à tous, N'installe pas HijackThis dans le dossier Temp car il va se faire virer lors d'un prochain nettoyage et surtout, les fichiers backups qu'il crée pour pouvoir revenir en arrière (sur une modif) aussi, par la même occasion ! Sois plus précis ! Temporary Internet Files n'est pas un fichier mais un dossier !Demande les propriétés de Temporary Internet Files et dis moi quelle est sa taille ! ---édition : Vas y rafiot (pour l'analyse) ! N'oublie pas les programmes antivirus multiples !

Merci megataupe ! Je colle mon chewing gum... et Windowns Update pour combler la faille !

Bonsoir angelique, bonsoir à tous, Merci pour ton intervention mais il faut faire attention... Ne pas penser qu'un problème est facile à resoudre car le but d'un pirate est d'infecter et de développer ses intrusions sans se faire remarquer et il faut profiter d'un dysfonctionnement car il est courant qu'un malware permette d'en découvrir bien d'autres !

Bonsoir 44 arnaud, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Nous allons t'aider à te débarrasser de ce malware... Suis cette procédure de megataupe : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) - télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip ) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien : http://minilien.com/?ZBcNwM6Om1 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'Hijackthis -- créer un répertoire à la racine de C: soit C:\hijackthis et dézipper le programme précédemment téléchargé dans ce répertoire. -- lancer HijackThis et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis va être enregistré dans C:\hijackthis (penser à rajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...) NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) : My Webpage Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

23 h 38 isoj, tu es la bienvenue ! N'hésite pas à faire tes commentaires, donner ton avis...

megataupe, J'insiste... tu peux te lancer dans l'analyse de logs Hijackthis ! Tu as les atouts en main ! Analyser un log en vrai, c'est se concentrer sur chacune des lignes, au départ, on passe plus d'une demi-heure par log et c'est "crevant" mais on prend vite ses marques et çà devient plus facile ensuite ! Sur PCA, dans une première vague, il y avait moi-même puis BipBip que j'avais convaincu de venir sur SpyWareInfo puis presque en même temps, queruak et did71. Nous avons mené une petite "formation" (avec un document que j'ai rédigé, des exercices commentés avec essais de réponse par les membres et explications fournies, de nombreux commentaires ou détails/explications que je donnais à l'occasion de certaines discussions, etc.) Dans cette deuxième vague, il y a eu Stonangel, chercheur, philae et quelques autres... avec, comme tu peux le voir, Stonangel qui a fait des progrès très rapides ! Ces 3 se sont lancés avec, pour les toutes premières réponses, un autre plus confirmé qui veillait et qui -c'est important, je crois- faisait ses commentaires et corrections par MP. Stonangel a maintenant dépassé ses maîtres !

tesgaz, pour ton Message #19 ! ---édition : pour ton Message #21 ! LOL tesgaz, il me semble que ta passion augmente (revient) et je m'en réjouis !

Personnellement, je pense que le robot hijackthis.de est meilleur que celui de I'm not a Geek qui est souvent bien flou avec des "Je ne sais pas ce que c'est..." en grand nombre ! Il y a d'autres robots ou aides d'analyse y compris un programme téléchargeable qui recherche et signale l'absence des protections nécessaires comme le pare-feu, l'antivirus, etc.

Rebonsoir tesgaz, megataupe, rebonsoir à tous, Je suis bien d'accord avec çà ! Quelques commentaires sur le post de tesgaz : post très intéressant mais un peu simplificateur..."ce qui est superflu" contient des sous-parties qu'il est intéressant de distinguer : --- des logiciels de protection complémentaires mis par l'internaute et s'il les a mis, il convient de lui en expliquer le caractère inutile avant de les lui faire cocher --- des logiciels de confort mis par le constructeur ou Microsoft pour permettre de rendre le système un peu plus user-friendly : il faut là aussi y aller sur la pointe des pieds pour trancher là dedans --- des modules mis par les différents constructeurs (éditeurs y compris AV ou constructeurs de périphériques) dont l'utilité est douteuse... permettre à ses propres modules d'être résidents et donc, de répondre rapidement ! Pour ma part, je serais d'avis de nettement distinguer : - les malwares et les bouffeurs de ressources à fixer pour la sécurité du système - les éléments inutiles à ne fixer qu'en accord avec l'internaute (surtout pour la facilité d'utilisation qui est susceptible d'êtrenécessaire à certains) pour une optimisation du système. Je suis bien d'accord que l'idéal est le système bien maigre et bien nerveux mais... demandé par l'internaute Autre remarque : analyser un rapport HijackThis est, dans la plupart des cas, chose facile ! l'élimination des éléments infectieux est quelquefois, une autre paire de manche !

Bonsoir à tous, Tesgaz, je sais bien que tu réponds dans la discussion dans laquelle on pose les questions mais tes compléments, tes commentaires mériteraient d'être joints au sujet principal "Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176 Megataupe, je pense qu'il serait valable que tu complètes cette discussion principale en (au choix) : - reproduisant les posts généraux intéressants ou - en mettant des liens vers les discussions qui complètent Qu'en penses-tu ?

Bonsoir tesgaz, megataupe, bonsoir à tous, Comme expliqué plus haut, une discussion qui remonte pendant plusieurs jours attire l'attention et est lue par de nombreux membes. Des modifications dans une discussion épinglée, se voient beaucoup moins... C'est pour cela que je l'épinglerai pour qu'on l'aie sous les yeux masi lorsque les commentaires seront moins nombreux pour la faire remonter ! 1 an 1/2... les grands artistes sont souvent des incompris ! LOL voila, tesgaz, tu commences à être entendu ! --- Par contre, il y a une chose qui me gène : certes, il ne faut pas compliquer les choses en ajoutant des points ni allonger le traitement avant premières améliorations mais ne pourrait-on pas éliminer d'autres fichiers inutiles et par là, améliorer un peu le nettoyage du disque ? Questions/remarques que je vous soumets : - OK pour Temp, TIF et corbeille comme megataupe l'avait prévu dans la procédure initiale OK pour CleanMgr que je lui ai fait placer en priorité et qui ajoute les cookies et quelques autres points Ne serait-il pas judicieux d'ajouter les caches de Java, les backups de Spybot, Prefetch ? Tesgaz, penses-tu que le nettoyage de ces derniers points allonge la proc. pour un résultat minime et que ces catégories sont suffisamment rares pour les reléguer en "nettoyage après analyse HJT" ? - Il y a de très bons nettoyeurs de disque : --- CCleaner --- CleanUp --- autres Sont-ils trop complexes ? pas efficaces ? le besoin de téléchargement complique-t-il ? Merci pour les réponses...

Non, je ne suis pas choqué par le faitt que ces fichiers système (mémoire virtuelle) soient non scanables ! Une chose qui me surprends est que, en apparence, des ficheirs de la zone de restauration soient supprimés !?!?!? Je n'en reviens pas !

Bonsoir megataupe, Aie ! Je vois que tu es en train de poster et je n'ai pas encore rédigé ! Ta procédure est un concentré de nettoyage et par là, tout est important et il ne faut pas sauter une étape ! - nettoyage des fichiers inutiles du disque : si tu ne fais pas cette étape, le scan AntiVir a trop de fichiers à scanner et il va te sortir une longue liste ! passer cette étape, c'est gagner du temps pour le scan, c'est éviter d récupérer une liste inutilement longue et inutilement inquiétante. Ne pas oublier ! - scan AntiVir : n'oublie pas que ce scan doit être effectué en mode sans échec pour une meilleure efficacité ! Si tu ne le réalises pas ainsi, tu ne fait qu'une partie du travail ! Ne pas sauter ! - scan HijackThis : c'est là aussi en mode sans échec que le scan est à faire ! on sera moins troublé par les si nombreux processus et surtout par les fenêtres restées ouvertes (les programmes ouverts par l'internaute). Ne pas oublier ! Je me répète : megataupe, ta procédure est un concentré où tout est réglé pour une bonne rapidité, légèreté, efficacité ! Il faut en suivre les instructions telles que prévues ! LOL Je me montre plus royaliste que le roi !

Bonsoir megataupe, bonsoir à tous, Pas de problème ! On s'en sortira vivant ! Stonangel doit être sur PCA etr il viendra sur Zebulon un peu plus tard ! Je sens que tu n'es pas loin d'analyser les rapports HijackThis ! En tous cas, merci pour ta bonne procédure... tu fais un boulot précieux en postant cette demande ! Au fait lis la petite remarque que je vais mettre à ton intention dans la discussion de juan_gonzalez... laisse moi quelques minutes pour rédiger ! LOL

Bonsoir juan_gonzalez, megataupe, bonsoir à tous, Ton rapport AntiVir montre que la plupart des fichiers signalés sont dans des zones de fichiers inutiles : - Temporary Internet Files - corbeille - sauvegardes de Sophos - zone dee restauration du système - etc. megataupe a préparé une jolie procédure qui inclut un examen avec AntiVir... mais là, il est soudain, timide et te propose de faire la suite de sa proc. Je ne suis pas d'accord et je suggère de reprendre l'ensemble de sa procédure à son début car son scan AntiVir vient justement après un petit nettoyage du disque, ce qui évite qu'AntiVir te liste tout de tas de choses qui ne servent à rien et qui aurait du être éliminées avant !!! Voici donc la procédure de megataupe dans son entier : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) - télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip ) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien : http://minilien.com/?ZBcNwM6Om1 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'Hijackthis -- créer un répertoire à la racine de C: soit C:\hijackthis et dézipper le programme précédemment téléchargé dans ce répertoire. -- lancer HijackThis et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis va être enregistré dans C:\hijackthis (penser à rajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...) NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) : My Webpage Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.