ipl_001

Bonjour Baobab, Stonangel, bonjour à tous, LOL Je n'ai pas de temps ce matin, étant pris par ailleurs... J'ai besoin de vous tous ! Dans le log ci-dessus, il y a la liste de fichiers du répertoire System32, répertoire important s'il en est par son importance et comme lieu privilégié de l'implantation des malwares ! Quelques réflexions personnelles : - il y a de nombreux fichiers de taille 0, des TFTP - les fichiers TFTP sont en lecture seule... les seuls TFTP de taille non zéro sont signalés comme infectés/infectieux ! - TPTP signifie, pour moi, Trivial FTP (File Transfer Protocol) et c'est un protocole de transfert absolument pas sécurisé utilisé par les techniciens pour leurs propres transferts ou les pirates ! - que sont donc ces fichiers à double extension xxx.manifest ? qu'est-ce que l'extension .manifest ? - quelles sont les applications installées sur cet ordinateur en juillet 2004 ? (classer les répertoires attachés à la racine par date ; de même pour Program Files) A cette après midi !

Rebonjour Baobab, Stonangel, rebonsoir à tous, Tu ne réponds pas à mes questions... mes préconisations ne t'intéressent-elles pas ?Okay!

Rebonsoir Baobab, Stonangel, rebonsoir à tous, -= DirFile-gM =- (Recherche de fichiers) (création du fichier .bat) (attention que les commandes Dos entrées ci-dessous peuvent être aussi délicates que la manipulation de la base de registres ! Effectuer un copier-coller sans essayer de bricoler quoi que ce soit d'autre !) - ouvrir le bloc-notes et copier-coller les lignes ci-dessous -sans les lignes de tirets- ----- DirFile-gM @echo off echo -=DirFile-gM=- ... veuillez patienter s'il vous plait... echo -=DirFile-gM=->C:\DirFile-gM.txt echo .>>C:\DirFile-gM.txt rem cd\Windows\System32 cd>>C:\DirFile-gM.txt echo ---fichiers Système/Cachés/Lecture seule--->>C:\DirFile-gM.txt echo -S->>C:\DirFile-gM.txt dir /od/as|find "/">>C:\DirFile-gM.txt echo -H->>C:\DirFile-gM.txt dir /od/ah|find "/">>C:\DirFile-gM.txt echo -R->>C:\DirFile-gM.txt dir /od/ar|find "/">>C:\DirFile-gM.txt echo ---fichiers Avril--->>C:\DirFile-gM.txt dir /od|find "/04/2005">>C:\DirFile-gM.txt echo ---fichiers Mai--->>C:\DirFile-gM.txt dir /od|find "/05/2005">>C:\DirFile-gM.txt rem echo fin -=DirFile-gM=->>C:\DirFile-gM.txt Notepad C:\DirFile-gM.txt Del C:\DirFile-gM.txt ----- 13 + 9 lignes - Fichier / Enregistrer sous --- Enregistrer dans : Bureau --- Nom du fichier : DirFile-gM.bat --- Type : tous les fichiers --- cliquer sur Enregistrer - quitter Notepad - (utilisation du fichier) - double cliquer sur le fichier DirFile-gM.bat (bureau) - il y a affichage d'une fenêtre sur fond noir qui disparaît rapidement - une fenêtre bloc-notes s'ouvre - copier-coller le contenu du bloc-notes sur le forum - quitter Notepad - supprimer DirFile-gM.bat (bureau) N.B.: Ce fichier .bat liste 3 séries de fichiers/dossiers du répertoire System32 : -1- les éléments Système/Cachés/Lecture seule du répertoire -2- les éléments non cachés modifiés en Avril 2005 -3- les éléments non cachés modifiés en Mai 2005.

Bonsoir Baobab, Stonangel, bonsoir à tous, Es-tu informaticien ? t'a-t-on donné cette machine à nettoyer ? Perso, j'ai l'impression que tu as RBot, sans plus ! As-tu bien affiché tous les fichiers ?

Merci lordtoniok ! Merci Shoulla !

Bonsoir queruak, Les 8/9 liens que j'ai donnés ne suffisaient-ils pas ???

Rebonjour davidyakusa, rebonjour à tous, As-tu vraiment désinstallé Copernic ?... je te demande ça car les "file missing" des lignes O9 ne sont pas sûrs (bug) ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll (file missing) O4 - Global Startup: Microsoft Office.lnk = E:\office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17d16eac1d40b7...RdxIE601_fr.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

Merci Choupinou ! ]-|

Bonjour davidyakusa, bonjour à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! J'ai regardé rapidement ton rapport HijackThis et je ne trouve pas... Il manque les premières lignes du rapport !... Tes utilitaires de sécurité sont-ils à jour ? ----- ISTbar : Voici quelques liens concernant ISTbar : - http://securityresponse.symantec.com/avcen...are.istbar.html et l'antidote http://securityresponse.symantec.com/avcenter/FxIstbar.exe - http://www.doxdesk.com/parasite/ISTbar.html (doxdesk dit que Ad-Aware et Spybot savent éliminer ISTbar ! - http://labs.paretologic.com/spyware.aspx?r...r.dotcomToolbar - http://www.spyany.com/program/article_spy_rm_ISTbar.html - http://www.spyany.com/program/article_adwa...are_remove.html - http://www.2-spyware.com/remove-istbar.html (attention, sur SWI, nous n'aimons pas ce site... n'y reste pas des heures !) - http://www.securemost.com/articles/trou_3_remove_istbar.htm - http://www.hftonline.com/forum/showthread.php?t=15788 Je regarde mieux ton log...

Bonjour à tous, Merci lordtoniok ! c'est très joli ! Félicitations ! PS: Techniquement parlant, tes 2 engrenages, de taille différente, ne doivent pas avoir le même nombre de dents sinon ça va coincer... les dents doivent avoir la même taille... (c'est pour plaisanter et taquiner) Très joli !

Bonjour à tous, Merci pour les bons voeux ! tesgaz Krystyna papatte aucharbon Clément64 Jumpin'JAck FLash Olivier, mon complice le plus ancien et le plus jeune et le plus fou ! queruak coolman Nanou Merci aussi à studio54, qui m'a envoyé un e-mail ! Merci à tous ! où est le champagne ? ah oui, ici -> ]-| Merci à vous ! NB : L'année indiquée dans mon profil est erronée !... mais c'est bien mon âge mental !

Bonjour deruelle, Quelle drôle d'idée !Comment donc pourrais-tu encombrer ? Tous les membres sont les bienvenus quels que soient leurs passions, leurs goûts, leurs connaissances ! Il y a des membres qui hantent JRAD, d'autres Sécurité ou Internet... tout le monde à sa place et quelque chose à partager avec tous ! Bonne journée, deruelle !

Félicitations et merci sebdraluorg !

Bonsoir dryssoun, pedro624, bonsoir à tous, Je ne crois pas qu'il y ait un malware dans le coin ! Je ne crois pas qu'il soit l'heure de reformmater, peut-être de réinstaller ou un SFC /scannow ! Je transfère sur le forum Software.

Bonsoir Noisette, tesgaz, bonsoir à tous, Merci pour les bonnes nouvelles et ton sourire ! Bonne soirée !

Rebonsoir studio54, Voici 2 informations importantes et je m'étais laissé abuser !Si tu n'as pas Norton antivirus, certaines lignes sont en trop et en particulier celles-ci qui en outre dénoncent un NavShExt.dll n'est pas à un endroit normal ! Saurais-tu ce qu'est SWsetup... je ne trouve qu'un vieux programme pour Windows 95 en Allemagne !!! Je trouve que tu as beaucoup de références à Symantec et Norton pour quelqu'un qui n'a que PassWord Manager ! Des processus et les services correspondants : C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE Occupons nous de cette alerte de MS AntiSpyware ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\SWSetup\NAV05\FR\NAV\External\NORTON\APP\NAVShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\SWSetup\NAV05\FR\NAV\External\NORTON\APP\NAVShExt.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Renomme le fichier suivant ! Je te le fais renommer car je ne suis pas assez sûr de moi et je ne veux pas le perdre, juste le rendre inactif (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc : - C:\SWSetup\NAV05\FR\NAV\External\NORTON\APP\NAVShExt.dll Si tout est bon dans 2 jours, tu le supprimeras. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Dis moi ce qu'il en est de l'alerte MS AntiSpyware !

Rebonsoir studio54, Tu as raison d'être inquiet ! Il ne s'agit pas d'un détournement de ta page de démarrage Internet Explorer, ce serait plus grave si MicroSoft Antispyware ne bloquait pas la chose ! Je te traduis : En d'autres mots, un fichier semble essayer de modifier la clé de ta base de registres qui correspond aux fichiers .EXE ! Cette altération a été, pour la première fois, faite par le virus Swen et l'antidote peut être trouvée à l'adresse http://download.nai.com/products/mcafee-avert/Fixswen.inf Je regarde à nouveau ton rapport HijackThis ci-dessus...

Rebonsoir papatte Ce serait pourtant un plaisir !

Rebonsoir studio54, rebonsoir à tous, Ouf ! Merci de me rassurer pour les 2 suites ! Pouquoi parles-tu de Hijacking ? quels dysfonctionnements ?

Bonsoir bernie50, onsoir à tous, Je te souhaite la bienvenue sur Zebulon... même si tu y es inscrit depuis longtemps ! Merci pour ta remarque, le lien a été corrigé ! Quiconque peut me contredire sans problème !... au contraire !

Bonsoir Clément64, bonsoir à tous, Merci pour l'information... ... d'une manière générale : toujours mettre à jour un logiciel de sécurité avant toute utilisation !

Rebonsoir studio54, rebonsoir à tous, Ton ordinateur avance-t-il avec tous ces processus (ces choses au démarrage) et en particulier tous ces utilitaires de sécurité dont les 2 suites ? Je ne me rends pas très bien compte des options qui sont dans Norton SystemWorks et Trend Micro Internet Security mais il y a certainement des doublons, là Rien d'infectieux ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...ilion&pf=laptop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\SWSetup\NAV05\FR\NAV\External\NORTON\APP\NAVShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\SWSetup\NAV05\FR\NAV\External\NORTON\APP\NAVShExt.dll O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\Sound Blaster Audigy 2\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTPerformanceUtility] C:\Program Files\Creative\Sound Blaster Audigy 2\SB Performance Utility\CTPowUti.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [MtdAcq] C:\Program Files\Creative\Shared Files\Media Sniffer\MtdAcq.exe /s O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - file://C:\WINDOWS\web\nvcadre.html O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110307387031 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D68A0A7F-CDAF-4132-9A26-B3E582A0CF37}: NameServer = 80.10.246.1 80.10.246.132 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

Bonsoir studio54, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! Bien sûr ! Je regarde ton rapport HijackThis... a priori, je ne vois pas de choses méchantes mais beaucoup trop de processus ! Pourquoi N'y a-t-il pas des choses en double, là... en plus de tes autres logiciels de protection ! point trop n'en faut !!!- un seul antivirus - un seul firewall (y compris celui d'XP)

Rebonjour lineve26, Oui, je t'avais déjà saluée sur Sécurité mais j'ai voulu récapituler ici ! Bonne soirée, lineve26 !

Bonsoir à tous, Je sais bien que je me montre exigeant et que je ne fais rien mais, j'aime bien : - les tailles différentes des 2 engrenages - la vue en 3D de l'original