ipl_001

Bonjour Tesgaz, Lorsque j'ai écrit >Encore une fois, il serait possible de créer un fichier .REG pour remettre les clés >comme dans un système standard sain ! Je ne voulais pas écrire que je ne savais pas le faire... LOL Je voulais simplement signifier que j'aimerais continuer à examiner la BdR jusqu'à mettre le doigt sur les pipes ou du moins ce qui cause l'affichage par HJT. Si on exécute le fichier .REG, on efface tout (j'espère) !

Bonjour Kryptal, bonjour à tous, Okay, je n'avais jamais vu cette page de Symantec... C'est ce que je voulais dire en écrivant que le fichier n'avait rien à faire dans le système (d'habitude, je le dis mieux).

Bonjour FLORIAN, queruak, tesgaz, megataupe, bonjour à tous, Oui queruak ! J'ajoute moi aussi, mon grain de sel. >Ce lignes sont légitimes qu'elles apparaissent ou non sur un rapport hijackthis. Si elles apparaissent, il faut voir pourquoi ! >Comment expliquer que nous ayons tous les memes données ? Le système du copain/de la copine de FLORIAN n'a pas encore été complètement examiné ! Nous ne pouvons pas dire qu'il y a les mêmes données, juste que nous n'avons pas encore trouvé ! LOL >Maintenant pourquoi,elles apparaisent sur le rapport de Florian,j'ai posé la question >à savoir quelle est la version qu'il a utilisé (originale,ou francisée), Tu as indiqué une piste possible... >sinon meme si on les voit sur le rapport,ces lignes sont saines. Pas encore d'accord ! analysons le problème et nous pourrons conclure lorsque nous aurons compris ! La présence de ces modules et lignes est légitime, nous sommes bien d'accord mais telle que listées dans le rapport HijackThis, il y a une bizarrerie que j'aimerais bien expliquer... il se pourrait que la conclusion soit "on ne touche à rien" ! Tant qu'il y a réaction d'HijackThis (le listage dans le rapport), le mystère demeurera et j'aimerais comprendre ce qui cause cette spécificité (sans doute la présence des pipes) ! Encore une fois, il serait possible de créer un fichier .REG pour remettre les clés comme dans un système standard sain !

Bonjour val973, bonjour à tous, Là n'est pas le problème de yoyo55 !Ta réponse pourra lui être donnée plus tard lorsque sa question initiale aura trouvé réponse ! C'est, du moins, ma conception !

Bonjour Zonk, Oui, c'est évident pour toi, mais : - certains considèrent qu'un "virus" affecte un programme existant qui doit donc être réparé ! - certains peuvent penser que la présence d'un malware est susceptible de cacher la présence d'autres parasites... Il me semble que la deuxième réaction est saine (même si çà n'a pas l'air d'être ce que yoyo55 veut dire).

Bonjour yoyo55, bonjour à tous, Que Norton le mette en quarantaine n'a pas grande importance car ce fichier n'a rien à faire dans ton système ! Par contre, je te conseille d'analyser ton disque avec plusieurs outils pour déloger d'autres malwares éventuels. Télécharge mwavscan ( http://www.mwti.net/antivirus/free_utilities.asp ) : Lance le, sélectionne scan all files, clique sur 'scan' et quand c'est fini, ce qui aura été trouvé sera listé dans la zone du bas : Sélectionne cette partie, CTRL-C pour copier et colle le dans ton prochain post avec CTRL-V.

Rebonjour flax_34, megataupe, totoftotof, rebonjour à tous, Stoppe le processus suivant dans le Gestionnaire des tâches : - C:\WINDOWS\ALCXMNTR.EXE Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O1 - Hosts: 24.14.38.190 ibank.barclays.co.uk O1 - Hosts: 24.14.38.190 online-business.lloydstsb.co.uk O1 - Hosts: 24.14.38.190 online.lloydstsb.co.uk O1 - Hosts: 24.14.38.190 www.halifax-online.co.uk O1 - Hosts: 24.14.38.190 www.ukpersonal.hsbc.co.uk O1 - Hosts: 24.14.38.190 www.nwolb.com O1 - Hosts: 24.14.38.190 banesnet.banesto.es O1 - Hosts: 24.14.38.190 extranet.banesto.es O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Internet Explorer Hot Fix - {A90C7D63-2042-4BD9-93EC-EEABE2820245} - C:\WINDOWS\System32\yedse.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [msmsngr] C:\WINDOWS\System32\msmsngr.exe O4 - HKLM\..\Run: [bDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe" O4 - Startup: PPControl.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1117813357328 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED250A8-99C1-43A7-B490-50F3DFC07D00}: NameServer = 69.50.184.84 195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{B29C30AC-A0D6-456A-82A2-2BB855A7B11B}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8A9381-8F4C-4EED-905A-D63C5858F7B5}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37 O17 - HKLM\System\CS2\Services\Tcpip\..\{0D27AFA0-881A-4BA6-94C5-C6B05EFB258E}: NameServer = 69.50.184.84,195.225.176.37 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - Supprime les fichiers/dossiers incriminés (s'ils existent encore) : --- C:\WINDOWS\System32\yedse.dll --- ALCXMNTR.EXE (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- MSIXEC32.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour flax_34, megataupe, totoftotof, bonjour à tous, As-tu effectué le scan antivirus HouseCall préconisé par megataupe ? Okay, je vois que Infos-du-Net.com n'a pas répondu... http://www.infos-du-net.com/forum/100667-1...2-backdoor-quot >behave like :Win32 Backdoor Cette dénomination est floue ! Ton Antivirus détecte quelque chose de pas normal sans pouvoir y mettre un nom et semble lui en affecter un de générique "se comporte comme un backdoor" >donc le virus pouré etre dan recovery Qu'est-ce que c'est que cette "recovery" ? une zone gérée par ton antivirus ? une zone de sauvegarde gérée par toi ? la zone de restauration de Windows XP ? Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonjour FLORIAN, rebonjour à tous, ---édition : Zut ! Bonjour tesgaz, j'ai mis si longtemps avant de composer mon post que tu as dégainé avant... je suis mort ! Je reviens à ton message initial :Si j'ai bien compris, l'internaute en question a fixé les 3 lignes du rapport HJT et a récolté un dysfonctionnement qui est la disparition des icônes de la zone de notification... Je suppose qu'il a restauré en utilisant les fichiers BackUp d'HJT. --- Nous avons apparemment les mêmes choses dans les 3 clés listées... Des différences seraient-elles dans les clés SSODL ? Veux-tu bien nous lister ce qu'il y a dans : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad valeurs : 0) (par défaut) 1) CDBurn 2) PostBootReminder 3) SysTray 4) WebCheck En prêtant attention à d'éventuels pipes à ces endroits et en regardant la donnée affichée et aussi la donnée obtenue en double cliquant sur la valeur... Non de nom, d'où sortent ces pipes ? Voici les données de mon système : 0) (par défaut) REG_SZ (valeur non définie) 1) CDBurn REG_SZ {fbeb8a05-beee-4442-804e-409d6c4515e9} 2) PostBootReminder REG_SZ {7849596a-48ea-486e-8937-a2a3009f31a9} 3) SysTray REG_SZ {35CEC8A3-2BE6-11D2-8773-92E220524153} 4) WebCheck REG_SZ {E6FB5E20-DE35-11CF-9C87-00AA005127ED} Merci ! Il serait possible d'effectuer une mise à jour de ces clés en se fiant à un système sain (qui ne liste pas les 3 O21) mais j'aimerais bien percer le mystère et mettre le doigt sur le truc !

Bonjour FLORIAN, philae, queruak, bonjour à tous, Pas le moindre pipe à l'horizon chez toi ! J'ai strictement les mêmes données dans ma base de registres ! Queruak a une bonne question concernant ta version d'HijackThis ! P.S.: J'ai plein d'outils pour lister les informations de la BdR (à commencer par RegInfo et ListReg-gM), ce serait bien que je les fasse utiliser !

Pas seulement ! Il faut suffisamment de membres sur le forum Des membres suffisamment disponibles qui prennent le temps de lire les interventions ! S'intéresser sincèrement aux autres posts etc. Un sujet d'intérêt comme philae sait les lancer même si elle dit ne pas le faire exprès !

philae, méfie toi, il y a beaucoup de "boit sans soif" qui traînent par là ! LOL Tu veux parler d'un bon rosé de Cuers bien frais ?

Bonsoir FLORIAN, bonsoir à tous, Je me suis trop avancé ! Il n'y a rien d'alarmant ! Peux-tu regarder et poster ce qu'il y a dans ces clés ? HKEY_CLASSES_ROOT\CLSID\{7849596a-48ea-486e-8937-a2a3009f31a9}\InProcServer32 valeur (par défaut) HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 valeur (par défaut) HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32 valeur (par défaut) Merci !

Rebonsoir FLORIAN, Je ne sais pas quelle est la recette (et je ne veux pas la connaitre et garder la magie) mais parfois, il y a de la décontraction, une ambiance... très bénéfique ! Est-ce que le vendredi soir est plus favorable ?

Je l'ai vue qui "traînait" et c'est pour çà que j'ai parlé de philae dans mon message ! Merci pour le Saint Nectaire, tesgaz !... il y a aussi le rosé qui vaut la visite !

Bonsoir webo, GURU MEDITATION, Florent, Richard1, bonsoir à tous, Une autre solution dans la base de registres : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDesktop (valeur DWORD): - "1" pour cacher toutes les icônes. - mettre "0" ou supprimer la valeur pour rétablir.

Bonsoir , bonsoir à tous, Pour répondre à bigbernie, c'est là la différence entre un bouquin et un forum ! Il ne sert à rien -pour la plupart des internautes- de constituer une FAQ Il ne sert à rien de donner un lien Il ne sert à rien de répondre d'aller lire la documentation ! Un forum c'est plus riche que tut çà et notamment en matière de contacts humains !

Bonsoir rimbaut, tesgaz, Squirrel, bonsoir à tous, Pas tout à fait ! Les processus correspondent à : - certains services en démarrage automatique - les programmes lancés au démarrage de Windows - les programmes lancés par toi (double clic) - les modules appelés par un autre processus Lorsque tu postes un rapport HijackThis, et en particulier, lorsque tu veux une analyse de tes processus, il est mieux de fermer tous les programmes sauf HJT !

Bonsoir Btb, totoftotof, Phengizy, bonsoir à tous, Je transfère ta question sur le forum Sécurité !

Avec KC, au moins, tu es sûr que le Saint Nectaire t'arrive entier ! LOL

Bonsoir à tous, Avant que beaucoup partent se coucher, je voudrais vous dire merci pour plusieurs bonnes discussions que j'ai beaucoup appréciées ce soir ! ... et philae a raté çà ! (sur PCA, c'est philae que je remerciais souvent pour ses bonnes questions qui nous permettaient des échanges sympas et formateurs) Bonne nuit !

Certes, ses convives lui ont mangé une grosse part -sauf KC- mais tesgaz a pu avoir quelques bonnes miettes !

Sujet fermé.

LOL Ma question sur les popups publicitaires était aussi là pour aider les internautes lecteurs qui pourraient tirer profit de l'information !...

Roserousse, Veux-tu dire que tu n'étais pas en train de naviguer (navigateur fermé) ou que l'ordinateur n'était pas connecté à l'Internet ? Ordinateur connecté à l'Internet, çà suffit pour récupérer des parasites sur certains ordis ! Il ne faut pas s'inquiéter utre mesure lorsque l'AV signale la présence d'un fichier infecté ! D'abord, c'est qu'il fait son boulot (à la condition que ce soit le module résident qui le signale) et ensuite, un fichier infecté dans Temporary Internet Files n'est pas une infection !