ipl_001

Rebonjour xtsxalex, FLORIAN, rebonjour à tous, Stoppe les processus suivants dans le Gestionnaire des tâches : - C:\WINDOWS\system32\w?nspool.exe Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F1 - win.ini: run=c:\windows\system32\metnerium.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1E6EEF4F-F147-AFC7-1366-745301F830C6} - C:\PROGRA~1\BOLDDR~1\deaflink.exe (file missing) O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\metnerium.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/cont...s/AvDetInst.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4EAA3A4E-42F1-4794-BB69-31FFE972D50D}: NameServer = 80.10.246.130 80.10.246.3 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore) : --- c:\windows\system32\metnerium.exe --- C:\WINDOWS\system32\w?nspool.exe En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Merci FLORIAN ! Je comprends bien qu'il est difficile de dégager du temps quand on est en plein dans les exams !

Rebonsoir à tous, Dans les 2 discussions dont je parle dans mon post précédent, les experts font fixer les lignes O17 (traiter par HijackThis) Voici la solution de Symantec qui me semble plus précise (les 1, 2 et 3 correspondent à la désactivation du Système de restauration, à la maj des defs de virus et au scan AV) : Je traduis :

Rebonsoir xtsxalex, FLORIAN, rebonsoir à tous, Bravo à FLORIAN pour ces bonnes directives... encore quelques lignes, je te laisse faire si tu veux !

Rebonsoir à tous, pablo a bien détecté l'anomalie O17 dans cette discussion (Wo Jun 08, 2005) ! "suspicious network activity" - http://www.hijackthis.nl/forum/viewtopic.php?p=3870&sid=4 Bien vu pablo ! greyknight17 également a bien vu le truc dans "Need Help With Thequicklink"toolbar"" -> http://help.lockergnome.com/index.php?show...=0entry267995 Chapeau greyknight17 ! Je ne connaissais pas pablo et hijackthis.nl (bien que ce soit des collègues de Merijn) mais je connais bien greyknight17 !

----- Poster rapport HJT : - télécharger HijackThis ( http://www.merijn.org/files/hijackthis.zip ). (Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm) - l'installer dans un répertoire spécifique (peu importe où mais pas dans un répertoire de fichiers temporaires ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm). - il est très important d'avoir la toute dernière version du logiciel. - fermer toutes les fenêtres. - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse.

Bonsoir xtsxalex, FLORIAN, bonsoir à tous, Je transfère cette discussion sur le forum Sécurité et je vais aussi le fusionner avec la nuvelle discussion démarrée par xtsxalex là-bas ! ---édition : discussion de Software transférée dans Sécurité et combinée avec nouvelle discussion !

Rebonsoir à tous, Mercredi 0h10 Je serais d'avis de faire un panorama (une visite) de discussions qui parlent de ces "DNS" pour voir si les forums ont corectement détecté la chose... et prêcher la bonne parole (à condition qu'on ait raison LOL) - "Trojan-Spy.html.Bankfraud.ci" - http://www.commentcamarche.net/forum/affic...ml-Bankfraud-ci - "Geeks To Go Forums -> Security warning pop up" - http://www.geekstogo.com/forum/Security_wa..._up-t34311.html - "Geeks To Go Forums -> Popups and Spyware Toolbar--HELP!" - http://www.geekstogo.com/forum/Popups_and_...LP_-t33605.html - "Need Help: The Quicklink Toolbar removal" - http://www.daniweb.com/techtalkforums/thre...post127960.html - "HELP! Hit by trojan-spy, my log is pasted - Special Interest ..." - http://forums.us.dell.com/supportforums/bo...message.id=6108 - "Hijackthis.nl :: Bekijk onderwerp - suspicious network activity" - http://www.hijackthis.nl/forum/viewtopic.php?p=3870&sid=4 - "SWI Forums > Google First page search results hijacked" - http://forums.spywareinfo.com/lofiversion/...php/t50323.html - "Lockergnome's Problem Solvers -> Need Help With Thequicklink"toolbar"" - http://help.lockergnome.com/index.php?show...iew=getlastpost

Rebonsoir PANTURLE, rebonsoir à tous, a proiri..et si jai bien compris ..je ne suis pas totalement sorti d'affaire... LOL C'est de ta faute ! A ma question : Qu'en est-il des dysfonctionnements ? Tu réponds : PANTURLE Écrit le hier à 22h36 je ne sais pas trop.... PANTURLE Écrit le hier à 22h38 aUTRE CHOSE AUSSI... Ce qui signifie que tout n'est pas propre ! Nous allons revenir avec quelques outils pour t'aider !

A mon avis, procédure de Symantec parce qu'il y a de nombreuses clés/valeurs concernées ! Il est aussi possible de créer un fichier .reg pour faciliter le nettoyage !

Bonsoir à tous, Petit récapitulatif ! Il y a eu ces temps ci quelques cas qui ont traîné en longueur avec un rapport HijackThis déclaré propre mais des dysfonctionnements qui subsistaient... Stonangel a sûrement mis le doigt sur la chose ! Les lignes O17 sont parfois un peu négligées... par moi, en tout premier ! Ce problème concerne les discussions : -> "behave like :Win32 Backdoor" de flax_34 (43 réponses 870 lectures) - http://forum.zebulon.fr/index.php?showtopic=68309 -> "Aidez moi à aliminer des trojans trés virulents" de PANTURLE (43 réponses 664 lectures) - http://forum.zebulon.fr/index.php?showtopic=68484 -> "Fenetre IE intempestive" de flax_34 (11 réponses 349 lectures) - http://forum.zebulon.fr/index.php?showtopic=68467 En voyez-vous d'autres qui ont les mêmes O17 ? Je reproduis mon post http://forum.zebulon.fr/index.php?showtopi...40entry517830 : Ces IP correspondent au malware Trojan.Flush.B ! (source : http://www.symantec.com/avcenter/venc/data...an.flush.b.html ) Merci à Stonangel !

Bonsoir , bonsoir à tous, Je fais remonter ce post suite aux derniers dénouements ! Comme http://forum.zebulon.fr/index.php?showtopi...=0entry517810 Comme http://forum.zebulon.fr/index.php?act=ST&f...=40#entry517818 Il y a du Trojan.Flush.B là-dedans !

(post séparé pour bien séparer de mon long layus) Qu'en pensez-vous ? Est-ce là une première ? ou plutôt la deuxième fois que les IP sont effectivement altérées (discussion dans laquelle tesgaz et megataupe avaient décortiqué les O17 -hier ou ce dernier week-end-) ---édition : voir le message http://forum.zebulon.fr/index.php?showtopic=68594 !

Bonsoir PANTURLE, Stonangel, bonsoir à tous, Vu les dysfonctionnements qui subsistent... Stonangel a bien raison qui attire mon attention sur les lignes O17 !!! Ces IP correspondent au malware Trojan.Flush.B ! (source : http://www.symantec.com/avcenter/venc/data...an.flush.b.html )

Bonsoir tirol, bonsoir à tous, Es-tu sûr ? La doc de HJT parle de l'ouverture de Notepad ! Je n'ai pas changé l'association de mes .txt et dis moi : Es-tu sûr que le programme demande à Windows d'ouvrir un fichier .txt ou demande-t-il l'ouverture du programme Notepad ?

Rebonsoir lineve26, C'est moi qui n'ai pas été clair en m'y repre,nant à plusieurs fois pour composer ma réponse... lors de ma réponse initiale, Pollux et megataupe n'avaient pas encore répondu et ensuite, j'ai complété... mais çà a rendu la chose nébuleuse !

Rebonsoir lineve26, Comment peux-tu dire çà puisque tu as eu les 2 sons de cloche ? LOL - Pollux_63 et megataupe te disent qu'il faut désinstaller la 1.05 puis installer la 1.06 - moi, je te dis qu'ils ont raison mais que dans le cas d'Ad-Aware, la procédure d'installation te désinstalleras l'ancienne !

Je te confirme ! Qu'en est-il des dysfonctionnements ? (deuxième)

Bonsoir lineve26, bonsoir à tous, Je te confirme que l'installation de la v 1.06 te propose vivement la désinstallation de la version précédente ! Pollux_63 et megataupe ont raison dans leur conseils généraux : il faut désinstaller mais la procédure d'install. de Ad-Aware v. 1.06 inclus la détection et la désinstallation de la v. 1.05 ; il est donc inutile, dans le cas présent, de le faire en 2 temps !

Bonsoir PANTURLE, bonsoir à tous, Je ne vois plus aucun élément infectieux dans ton dernier rapport HijackThis ! Félicitations ! Qu'en est-il de tes dysfonctionnements ?

Bonsoir yoyo55, bonsoir à tous, Ton rapport HijackThis ne comporte pas d'élément infectieux ! Félicitations ! Ai-je oublié de te dire qu'il ne fallait pas laissé HijackThis dans le dossier Temp ? Veux-tu bien, s'il te plaît, ne pas reproduire le post précédent surtout lorsqu'il est si long ? Clique sur le bouton "Répondre" qui est entre "Flash" et "Options", pas celui qui est à côté de "Citer" ! Juste cette ligne à fixer, à l'occasion... Relance un scan HijackThis et coche la ligne ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Qu'en est-il des dysfonctionnements ?

Bonsoir Hungo, bonsoir à tous, Tu me diras peut-être que çà ne change pas grand chose mais il s'agit de Notepad.

Oui, c'est ce que je dis presque en demandant à sherpa572 de regarder !Ce programme peut être légitime ou pas... la date de création du fichier et l'utilisation de produits de Creative Labs peuvent donner une piste.

Rebonsoir sherpa572, Stonangel, rebonsoir à tous, S'il te plaît, désactive TeaTimer dans SpyBot Search and Destroy ! De même, je te fais désactiver tes restrictions... Tu réinstalleras tout çà lorsque ton système sera propre ! Télécharge et installe DelDomains.inf de Mike Burgess ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - clic droit / Enregistrer la cible sous... Copie ce post dans un fichier de manière à le conserver hors connexion. J'hésite en voyant ton processus C:\WINDOWS\System32\devldr32.exe : Il peut s'agir du malware http://castlecops.com/s954-devldr32_exe.html ou du légitime http://www.liutilities.com/products/wintas...slibrary/lsass/ Veux-tu bien lire les quelques lignes et juger ? Démarre ton ordinateur en mode sans échec. RegFix-gM : - ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les tirets- ----- Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix] @="http://"'>http://"'>http://"'>http://" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes] "ftp"="ftp://" "gopher"="gopher://" "home"="http://" "mosaic"="http://" "www"="http://" ----- (14 lignes y compris une ligne vide en fin) - Fichier / Enregistrer sous --- Enregistrer dans : Bureau --- Nom du fichier : RegFix-gM.reg --- Type : tous les fichiers --- cliquer sur Enregistrer - quitter Notepad - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. Lance Del_Domains.inf : clic droit / Installer (pas besoin de redémarrer) N.B. : Ceci va enlever toutes les entrées des "Sites de confiance" et de "Domaines". Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Administrateur O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Les lignes O13 et O15 ne seront certainement plus présentes car éliminées par les outils RegFix-gM et Del_Domains O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my='>http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my= O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Rebonsoir, Voici quelques informations relatives à Troj/Malche-A (source : http://www.sophos.com/virusinfo/analyses/trojmalchea.html ) Je te cherche la même en Français ! ---édition : zut ! Je ne la trouve pas !