ipl_001

Bonsoir herisson, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! Aux utilitaires que tu cites, je vois que tu en connai un bout en matière d'antimalwares... sois toutefois prudent en évitant de lancer aveuglément, des utilitaires bien spécifiques que sont AboutBuster ou Hs.remove (cas de problèmes spécifiques dans les lignes O1 seulement) Je suis surpris qu'avec CWShredder/SpySubtract/SpySweeper/MicrosoftAntispywareBeta, tu n'aies pas éliminé le CWS... Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonjour pierre 45033, rebonjour à tous, ----- DelDomains.inf : Pour se débarrasser des lignes O15 qui pourraient rester, on va suivre ces conseils de Mike Burgess ( http://www.mvps.org/winhelp2002/restricted.htm ) : Stoppe les processus suivants dans le Gestionnaire des tâches : - C:\Program Files\Messenger Plus! 3\MsgPlus.exe - C:\Program Files\Windows AdStatus\WinStat.exe - C:\Program Files\Windows AdStatus\WinStatKeep.exe Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : - Messenger Plus! (cet utilitaire, si l'on n'y prend pas garde, amène avec lui tout un tas de spywares... ça n'a pas l'air d'être le cas pour toi mais s'il te plaît, désinstalle le ! Tu réinstalleras lorsque tout sera propre dans ton système... en refusant les sponsors !) - Windows AdStatus Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skynet.be/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.skynet.be/index.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) -> restes de erfectNavBHO.dll, PERFEC~*.DLL IncrediFind variant -> http://www.doxdesk.com/parasite/KeenValue.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) <- restes de VSCShellExtension.dll McAfee Virusscan O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Office Mouse\moffice.exe O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe -> WinStat.exe Windupdates adware variant O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Laurie\nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [MediaDico9] c:\program files\microsoft office\LanceMediaDICO9.exe Lancement O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Startup: Webshots.lnk = E:\Program Files\Webshots\Launcher.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Acrobat Assistant.lnk = E:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Browser Mouse 1.1.lnk = C:\Program Files\Browser Mouse\Browser Mouse\1.1\Mouse32A.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\LAURIE\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll Lorsque tout sera propre, il serait bon que tu remplaces la machine virtuelle Java de MicroSoft par celle de Sun MicroSystems ( http://www.java.com/ ) O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - E:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - E:\Program Files\Goto\MemoWeb 4\IEBtn\Launcher (file missing) O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted IP range: 193.58.81.70 O15 - Trusted IP range: 193.58.81.70 O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/...trolLite_EN.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYes...e/bridge-c2.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...83/mcinsctl.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,20/mcgdmgr.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab O18 - Protocol: bw+0 - {D5ED2F60-858B-4224-86B8-07CABD6420FB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll ... O18 - Protocol: offline-8876480 - {D5ED2F60-858B-4224-86B8-07CABD6420FB} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Program Files\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McAfee Firewall - Unknown owner - C:\Program Files\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\Program Files\Messenger Plus! 3 (supprime le dossier) - C:\Program Files\Windows AdStatus (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour pierre 45033, bonjour à tous, Je te souhaite la bienvenue sur Zeb'-Sécurité ! Merci de venir sur notre forum ! Je remarque que tu as un système ancien de plusieurs années du point de vue de la sécurité -> http://windowsupdate.microsoft.com/ !Lorsque tu postes un rapport HijackThis, il est bon de : - fermer toutes les autres fenêtres de manière à ce que ne subsistent que les processus lancés automatiquement - dire quels sont les dysfonctionnements constatés ou les raisons de son désir d'nalyse (nettoyage infection, désir d'optimisation, vérification, etc.) Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonjour searchmaid, rebonjour à tous, Yann, notre webmestre, responsable de Zebulon, a ouvert récemment le forum Sécurité (précédemment inclus dans "Software") et m'a demandé d'en être le modérateur ! Ca varie selon les sites : sur Zebulon, un modérateur n'est pas tout à fait un "garde chiourme" mais plutôt un des contributeurs et un animateur. Merci pour ces mots gentils !Le forum Sécurité de Zebulon a été "relancé" il y a très peu de temps ( ).Tous les membres sont invités à y participer et à tenir le rôle qui leur plaît le plus car un forum Sécurité n'est absolument pas le nettoyage des systèmes infectés mais, liste loin d'être exhaustive : - mise au point de méthodes - lecture/étude de news de sécurité - test de logiciels (nouveaux logiciels, nouvelles versions des anciens, etc.) - enseignement sur la maintenance d'un système - explications détaillées pour les membres qui n'ont pas de problème - formation à la prévention - etc. Sur Zeb'-Sécurité, nous avons l'ambition de tenir tête aux pirates et de convaincre les Français à tenir leur place dans la lutte comme le font les Américains et les internautes d'Europe du nord !

Bonjour xunkar, stonangel, queruak, bonjour à tous, Félicitations Stonangel ! Désolé d'arriver si tard... j'ai eu à faire mon boulot de modérateur dans une autre discussion ! Stonangel, il te reste maintenant à parler de protection pour être à l'abri des menaces !

Bonjour TESTEUR, bruxelles, megataupe, Syclem, bigbernie, bonjour à tous, Merci pour l'excellent échange ! Merci pour ton post superbe sur SpyBlocker, megataupe ! Je poursuis juste par quelques liens : -> téléchargement - http://www.spyblocker-software.com/sb.exe ou http://www.zdnet.fr/telecharger/windows/fi...9053160s,00.htm -> explications - http://www.spyblocker-software.com/spyblocker/index.shtm ou http://www.spyblocker-software.com/spyblocker/sb.htm -> forum - http://spyblocker-software.com/IPB/index.php?act=idx Quel dommage que tu aies oublié le paragraphe ProcessGuard ! Merci

Rebonjour cnsteph, rebonjour à tous, Pour le forum, j'hésite entre "Sécurité" (comme indiqué dans la "définition" ) et "Internet & Réseaux". Les meilleurs sur Zebulon sont KewlCat, Greywolf, Florent, tesgaz (pardon à ceux que j'oublie) Voici l'URL du didacticiel de tesgaz -> http://speedweb1.free.fr/frames2.php?page=tuto1

Bonjour cnsteph, bonjour à tous, Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum ! Je suis désolé de ne pas savoir te guider mais je pense que d'autres membres posteront sous peu !

Bonjour xunbar, bonjour à tous, ---édition : bonjour stonangel ! Toujours plus rapide que moi ! Merci pour ton aide je te laisse y aller ! Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum ! Nous allons faire tout notre possible pour réparer ton problème le plus rapidement possible ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonjour forcat, NeOtHeNeO, rebonjour à tous, de rien forcat ! Oui, je sais que ce n'est pas toi qui avait le système infecté (même si mes mots s'adressaient directement à toi comme si...) et j'imagine les difficultés que tu as rencontrées ! Je te félicite d'avoir su faire le relai, d'avoir relancé l'amie qui devait commencer à en avoir marre, etc. ! Il est très important que l'amie infectée n'ait pas choisi de reformater... c'est une victoire d'être parvenu à nettoyer : - tu as eu -j'espère- la satisfaction d'avoir aidé - ton amie a sans doute compris qu'il y a une amélioration a apporter à sa protection pour ne plus connaitre ces événements - les pirates ne nous ont pas eu ce coup ci et on les a fait reculer ! Je répète mon dernier paragraphe : Nous sommes quelques internautes en France, de plus en plus nombreux qui voulons faire reculer l'insécurité...Ces fous sont très nombreux et très organisés aux US, en Grande Bretagne, en Hollande, en Allemagne, en Belgique, au Danemark... il faut que les Français fasse aussi leur part ! Sur d'autres forums, j'ai une signature différente, dont cette ligne qui est l'encouragement prodigué par un de mes formateurs à l'analyse des logs HJT, à un membre (pas moi) qui se sentait perdu (il était lui aussi en stage)... je vais sans doute modifier ma signature sur Zeb' car cette phrase traduit LOL bien mon état d'esprit !

Bonjour searchmaid, Clafouti, coolman, queruak, bonjour à tous, Je te souhaite la bienvenue sur Zebulon ! Merci de venir sur notre forum ! Entre les mains de Clafouti, coolman et queruak, tes dysfonctionnements n'en ont plus pour longtemps !

Rebonjour forcat, NeOtHeNeO, rebonjour à tous, Le système a été infecté... je suppose que çà ne t'a pas amusé ! Si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système et il est important que tu l'améliores de manière à ce que çà n'arrive plus ! Protection minimale : - système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases ( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage) - pare-feu bien paramétré, gratuit par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident) - antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit par exemple AVAST Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident) - antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance) - antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance) - comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage) - attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage). - maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) (tous ces programmes parfaitement mis à jour avant chaque utilisation). Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html Sur Zeb'-Sécurité, nous faisons de gros efforts pour aider avec de plus en plus d'efficacité et nous voulons lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille ! Avec un peu de prévention, il est possible d'être à l'abri des menaces ! S'il te plaît, fais passer le mot autour de toi ! S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum ! Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier !

Rebonjour forcat, NeOtHeNeO, rebonjour à tous, Félicitations ! Je ne vois plus rien d'infectieux dans le dernier rapport HijackThis ! Qu'en est-il des dysfonctionnements ? Page de démarrage ? Je me demande pourquoi la ligne O17 a disparu... Juste cette ligne que je virerais aussi : Relance un scan HijackThis et coche la ligne ci-dessous : O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

Rebonjour forcat, NeOtHeNeO, rebonjour à tous, Ton ordinateur est infecté par le malware lop. Télécharge et lance Lopremover ( http://www.thespykiller.co.uk/files/lopremover.exe ) Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ysthcxlqyorjgyyktepbgq.com/AxiH...QivxdKW2VdF.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: (no name) - {E1DAA046-9BF6-ECBF-DE1E-1E2008F1E6A3} - C:\DOCUME~1\JOMAR\APPLIC~1\BALMWI~1\2 poll.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe O4 - HKLM\..\Run: [start uploading] smsss.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WildTangent CDA] "C:\Program Files\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0500.dll" O4 - HKLM\..\RunServices: [start uploading] smsss.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [start uploading] smsss.exe O4 - HKCU\..\Run: [schmaili] C:\Program Files\Schmaili 5.1\schmaili.exe O4 - HKCU\..\Run: [RTEGPRS] "C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe" tray O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [bOWS NEW] C:\DOCUME~1\JOMAR\APPLIC~1\OPTION~1\MetaNounArmy.exe O4 - HKCU\..\RunServices: [start uploading] smsss.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...up1.0.0.8-2.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1104053319946 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3988EE40-1670-4DFB-830E-9FAB659133AC}: NameServer = 213.36.80.1 213.36.80.1 O18 - Protocol: bw+0 - {CF1E5D04-576F-4B7B-BDE5-EF98A3A41407} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll ... O18 - Protocol: offline-8876480 - {CF1E5D04-576F-4B7B-BDE5-EF98A3A41407} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: RTE : Partage TAPI (RTETAPIService) - RTE Software - c:\fotowin\RTETPISv.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - O2 - BHO: (no name) - {E1DAA046-9BF6-ECBF-DE1E-1E2008F1E6A3} - C:\DOCUME~1\JOMAR\APPLIC~1\BALMWI~1\2 poll.exe - O4 - HKCU\..\Run: [bOWS NEW] C:\DOCUME~1\JOMAR\APPLIC~1\OPTION~1\MetaNounArmy.exe - O4 - HKCU\..\RunServices: [start uploading] smsss.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour forcat, NeOtHeNeO, bonjour à tous, Vu pour le nouveau rapport HijackThis ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes ! (ma réponse ressemblera beaucoup à ma précédente... pas de ligne O19-O20 apparue mais je vais regarder les autres)

Hi queruak! en écrivant "Il est beau", j'ai eu peur que baxter pense à un affirmation du genre "il est impeccable", c'est pour cela que j'ai ajouté "Tu vas te regaler" As-tu lu mon post au bas de la page 1 ?

Rebonsoir baxter, queruak, rebonsoir à tous, Ah ! Enfin ! le rapport HijackThis ! Il est beau, queruak ! Tu vas te régaler !

Bonsoir fanfandjs, chercheur, mtirabo, bonsoir à tous, A mon humble avis, surtout pas ! En effet, désactiver le système de restauration consiste à effacer tous les points de contrôle et donc, toute possibilité de revenir en arrière, à une situation normale ! ... Une piste serait juste l'inverse : Revenir à une situation normale (je n'ose pas dire propre), à une date antérieure à l'apparition du problème !

Rebonsoir baxter, rebonsoir à tous, Queruak, excuse moi de marcher dans tes plates-bandes mais il me faut intervenir ! Les détournements de page de démarrage au profit de sites commerciaux sont commandités et mis en place par des professionnels et, crois moi, ce sont des systèmes sophistiqués qui ne se règlent que rarement par une petite désinstallation dans Ajout-Suppression de programmes ! Il y a souvent mise en place de systèmes de réinfection ! Il y a des outils qui ont été développés pour contrer les Hijackings et l'outil central est HijackThis ! ----- Nettoyage initial : Commence par faire un peu de ménage dans ton système : - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ (ActiveX) ou http://fr.trendmicro-europe.com/consumer/p...call_launch.php (Java) ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et essaie de réparer, sinon, supprime ! - examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve - examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve - examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Les malwares ordinaires ne devraient pas survivre à ce premier traitement ! ----- Poster rapport HJT : - télécharger HijackThis ( http://www.merijn.org/files/hijackthis.zip ). (Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm) - l'installer dans un répertoire spécifique (peu importe où mais pas dans un répertoire de fichiers temporaires ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm). - il est très important d'avoir la toute dernière version du logiciel. - fermer toutes les fenêtres. - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse.

Bonsoir Sébastien ! Je te souhaite la bienvenue sur Zebulon-Sécurité ! Ah que voici un excellent membre !

Bonsoir baxter, bonsoir à tous, Eh bien ! Beaucoup ne semblent pas savoir ce qu'est un Hijacking ! Il y a du boulot sur Zebulon-Sécurité !

Bonsoir baxter, crayun, NeOtHeNeO, queruak, bonsoir à tous, HijackThis a été créé pour contrer les cas de Hijacking (détournement de pages de démarrage) et justement pour éviter d'aller modifier à la main, la base de registres ! Suis les instructions de queruak ! Je te réponds en tant que modérateur de ce forum !Chaque cas est particulier et nous invitons chaque internaute constatant de tels dysfonctionnement à nettoyer son système puis à poster son rapport HijackThis ! Notre réponse sera adaptée au problème et à l'internaute !

Bonsoir CHRISTIAN84, angelique, NeOtHeNeO, bonsoir à tous, ??? NeOtHeNeO, ce n'est vraiment pas la peine de créer des forums sécurité si tu préconises de telles réponses ! Les posts vont être très courts et très simples avec toi ! Formater !?!?... pour quelques saletés dans la base de registres !!!??? Absolument pas d'accord !

Bonsoir Stonangel, ephelide, megataupe, bonsoir à tous, LOLJe vois ce à quoi tu fais référence !

NeOtHeNeO, Les clés RUN correspondant à sont dans les lignes O4 !!!Tu as raté l'élément infectieux smsss.exe Je répète qu'il n'est pas judicieux de désactiver SDhelper.dll qui est un élément de protection !