ipl_001

Bonsoir Cyril7000, Stonangel, tesgaz, megataupe, bonsoir à tous, Nous allons rechercher ce fichier dans la base de registres grâce à Registry Search de mon ami Bobbi Flekman ( http://www.bleepingcomputer.com/files/misc/RegSearch.zip ) :

Bonsoir Stonangel, Tu as l'impression que green.exe est un dur à cuire, semblable à nail.exe...

Bonsoir megataupe, Pourquoi parles-tu de >QInformation related to '195.95.218.0 - 195.95.219.255' IP qui ne sont pas dans le post ? Par contre, de 69.50.184.84,195.225.176.37, je pense ceci -> http://forum.zebulon.fr/index.php?showtopic=68594&hl=

Rebonsoir , rebonsoir à tous, Télécharge EasyCleaner ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre le système en mode sans échec. Je ne te fais pas désactiver TeaTimer car étant en mode sans échec, il ne devrait pas te gêner ! Je vois 2 antivirus (AVG et PC-Cillin) ! Cà ne protège pas 2 fois mieux ! Il faut que tu en désinstalles un ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Internet Explorer Hot Fix - {5A5D830F-2637-4E15-8420-1BDBC61F8C3F} - C:\WINDOWS\System32\xbxae.dll O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [QT4StBtn] C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe /auto O4 - HKLM\..\Run: [oouserv6.exe] C:\Program Files\OFFICE ONE6.5\program\oouserv6.exe O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe O4 - HKLM\..\Run: [control64] NopeZ.exe O4 - HKLM\..\Run: [sysEntry] new32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\PROGRA~1\SPYBOT~1\TeaTimer.exe O4 - Startup: OFFICE One 6.5.lnk = C:\Program Files\OFFICE ONE6.5\program\quickstart.exe O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: OFFICE One Clock v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Clock\ooneclockv65.exe O4 - Global Startup: OFFICE One Notes v6.5.lnk = C:\Program Files\OFFICE ONE6.5\OFFICE One Notes\oonotesv65.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Tu remettras tes restrictions si tu y tiens ! O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/instal...hidden-test.cab O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{440D0E6F-AADD-4031-92A1-0BDF8F7B10A9}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{758ED13E-2C1B-46B8-A314-41A05E55E031}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{9A7403DB-D1E6-447D-872D-0AC4B931EEDF}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{C9C4F4A0-7A87-4FF1-9CCD-117071F99025}: NameServer = 69.50.184.84,195.225.176.37 O18 - Filter: text/html - {2D456541-CA07-4B27-A1EF-FE4A4DBC198B} - C:\WINDOWS\System32\gjbo.dll O18 - Filter: text/plain - {2D456541-CA07-4B27-A1EF-FE4A4DBC198B} - C:\WINDOWS\System32\gjbo.dll O20 - Winlogon Notify: style2 - C:\WINDOWS\q266143083_disk.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore) : --- C:\WINDOWS\System32\xbxae.dll --- C:\WINDOWS\System32\gjbo.dll --- C:\WINDOWS\q266143083_disk.dll --- NopeZ.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- new32.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc : - Si tout est bon dans 2 jours, tu les supprimeras. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir supergg76, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

super gag, est-ce que tu ne sais écrire que ce type de post ? vas-tu nous le servir encore souvent ?

Je vais m'y employer ! Je vais transformer mes posts pour :-0- obtenir un rapport en mode sans échec -1- faire télécharger les outils en mode normal (et oublier les scans en ligne) -2- redémarrer en mode sans échec -3- utiliser les outils téléchargés -4- fixer par HJT -5- supprimer les fichiers -6- redémarer en mode normal et poster un nouveau log

Je ne vais sur CCM que lorsque Google m'y envoie et que je n'ai pas trouvé de liens vers un éditeur AV ni une base de données ni un forum US... alors tu vois que je n'y vais pas souvent ! Que pour moe que je trouve bon (il dit que çà fait un an et demi qu'il a touché son premier ordi) !

Rebonsoir Hungo, rebonsoir à tous, C'est moi qui me suis mal exprimé et qui t'induis en erreur ! Pour qu'il y ait infection, il faut un (ou des) fichier(s) infectieux sur le disque dur et une activation (chargement en mémoire) du/des fichier(s). En cochant dans HijackThis, on a réussi à désactiver mais il convient encore de les supprimer du disque (disons que c'est une double sécurité). Fais ce que dit tesgaz et affiche les fichiers cachés de manière à les repérer et les supprimer !

Bonsoir gloupy, Stonangel, bonsoir à tous, S'il te plaît, clique sur le bon bouton "Répondre" et ne reproduis pas systématiquement le post qui précède ! Redémarre et poste un nouveau rapport HijackThis !

Rebonsoir Hungo, tesgaz, megataupe, rebonsoir à tous, Les lignes ne sont plus dans ton rapport HJT !

tesgaz, Tu auras sans doute remarqué que mon post demandait le HijackThis en mode sans échec... comme je le fais souvent !

Bonsoir à tous, Megataupe, la procédure copiée cette nuit ne correspond pas à mes mots habituels... je me suis effectivement inspiré d'un post de moe31 sur CCM !

Bonsoir tesgaz, bonsoir à tous, Vas-y ! L'infection n'est pas bien méchante ! Que penses-tu des éléments AntiVir installés (je n'ai pas su le déterminer) ? Vas y pour l'optimisation !

Rebonsoir Hungo, rebonsoir à tous, Je vois l'antivirus F-Secure ! Je vois aussi certains éléments d'AntiVir... je ne connais pas trop... qu'as-tu ? J'espère que tu n'as pas l'antivirus résident car il n'en faut qu'un seul ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr6.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr6.hpwis.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [Configuration Loader] filename.exe -> Winfavorites adware - http://www.bleepingcomputer.com/startups/%...e%5D-f5604.html O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [Microsoft Works Update Detection] ???\WkDetect.exe -> Microsoft Works Update Detection N wkdetect.exe, WkUFind.exe Checks for updates to MS Works Cette ligne est mal constituée et ne me plaît pas même si elle semble correspondre à une vérification des maj de Works ! O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore) : --- filename.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc : - WkDetect.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) Si tout est bon dans 2 jours, tu les supprimeras. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir Hungo, bonsoir à tous, Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonsoir Cyril7000, rebonsoir à tous, Télécharge: Pocket Killbox ( http://www.downloads.subratam.org/KillBox.exe ) Déconnecte toi d'Internet : ? Vide le cache d'Internet Explorer et supprime les cookies : * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion" Valide avec ok -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ ?Lance hijackthis et clic sur "do a system scan only" cocher la case au début des lignes suivantes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=Explorer.exe green.exe valider avec [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ 1- Ferme tous les progs en cours 2- Double-clic sur KillBox.exe 3- Sélectionne "Delete on Reboot" 4- Copie la ligne c:\Documents and Settings\Cyril\msdirectx.sys et colle la dans "Full Path of File to Delete" 5- clique sur la croix blanche dans le rond rouge 6- une fenêtre va apparaître pour confirmation, clique sur YES 7- une seconde fenêtre te demande si tu veux redemarrer, clique sur YES Le PC va redémarrer automatiquement, dans le cas contraire, tu le redémarres manuellement.

Bonsoir tirol, bonsoir à tous, Je ne vois rien d'infectieux dans ton rapport HijackThis !

Bonsoir erick10, bonsoir à tous, Je transfère au forum Hardware !

Discussion fermée !

Queruak, je suis désolé de t'avoir fait chercher pour rien ! Désormais, toute discussion dénotant l'utilisation de PeerToPeer sera fermée ! Sujet fermé. Merci de bien vouloir consulter la charte du forum.

Rebonsoir Cyril7000, rebonsoir à tous, Le prefetch est une sorte de cache !... je pense que le fichier est également ailleurs ! As-tu affiché tous les fichiers (Options des dossiers) ? As-tu bien un antivirus ? je trouve qu'il n'y a pas assez de services / processus relatifs à Norton AV ! Comme demandé, poste un nouveau rapport HijackThis, s'il te plaît !

C'est le résultat de çà : contraire à la charte de Zebulon !

Bonsoir arno2000, bonsoir à tous, Commence par te débarrasser de çà : contraire à la charte de Zebulon ! Discussion fermée !

Bonsoir depassage, megataupe, bonsoir à tous, Je te souhaite la bienvenue sur Zeb-Sécurité ! Merci de venir sur notre forum ! Bizarre tout de même ces forums inaccessibles ! SpyWareInfo... HS mais c'est expliqué ! -> http://forum.zebulon.fr/index.php?showtopic=68434&hl= Puis Gladiator Assiste ...