ipl_001

Bonsoir punto, bonsoir à tous, pour toi, c'est C:\Windows

Rebonsoir nebuchad34, Pas de problème nebuchad34 ! Je ne suis pas là pour frimer mais pour t'aider en te guidant pas à pas ! Inutile de dire que le nom de la dll changeant à chaque démarrage, il faut effectuer les opérations -1- et -2- sans redémarrer : -1- désactiver le démarrage du fichier dans la base de registres en supprimant la valeur AppInit_DLLs (clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows) Attention, il y a des mécanismes de masquage : --- on peut ne rien voir à côté de "AppInit_DLLs" et il est nécessaire de double cliquer sur AppInit_DLLs pour voir le nom de la DLL --- pour supprimer la valeur AppInit_DLLs, il faut savoir qu'il y a un processus en mémoire (pléonasme) qui fait que si tu supprimes, il y a immédiatement re-création ! Pour arriver à supprimer, il faut : * renommer la sous clé "Windows" en ce-que-tu-veux... je suggères "notWindows" * supprimer la valeur AppInit_DLLs par clic droit / Supprimer * remettre le nom initial de la sous clé "notWindows" -> "Windows" -2- supprimer la DLL en mode commandes (attention elle est en Read Only) c'est à dire : Démarrer / Exécuter / taper cmd et cliquer sur OK Une fenêtre de commande s'ouvre (fond noir) Si on a le chemin, taper (Entrée à la fin de chaque ligne) CD \Windows\System32 (en supposant que le chemin est Windows\System32) Si on n'a pas le chemin, il faut de rechercher par CD \ DIR nom-fichier.DLL /S on obtient un affichage du fichier trouvé et une ou deux lignes au dessus du nom du fichier, il y a le nom du répertoire (chemin) taper le CD CD \Windows\System32 (en supposant que le chemin est Windows\System32) DIR nom-fichier.DLL Vérifier qu'une ligne indique le nom du fichier taper DEL [F3] ce qui équivaut à DEL nom-fichier.DLL Quitter le mode commandes en tapant EXIT (puis Entrée) Ensuite : - lancer SpyBot avec traceurs et éliminer tout ; lancer CWShredder - redémarrer en mode sans échec et relancer Spybot et CWShredder. (ceci pour parfaire le nettoyage)

Bonsoir DD11, bonsoir à tous, Il n'y a rien d'infectieux dans ton rapport HijackThis et la seule ligne à fixer est Ce n'est pas ça qui résoudra ton problème avec le FireWall ! Pour un didacticiel sur Zone Alarm, va sur le site de Tesgaz... sais-tu où le trouver ?

Rebonsoir nebuchad34, rebonsoir à tous, Voici ce que je te propose : Télécharge et installe Registrar lite de Resplendence ( http://www.resplendence.com/download/reglite.exe ).

Bonsoir lilium, bonsoir à tous, Notre objectif est bien d'aider à maintenir les ordinateurs en bon état de manière à ce que tous, nous connaissions la tranquilité du surf sur l'Internet !

Bonsoir bipping, stonangel, bonsoir à tous, Bravo à stonangel pour ses bons conseils ! Dis moi, bipping, il y a justement un nouveau malware sorti ces jours-ci... tu ne t'amuses pas à cliquer sur les fichiers joints au spam, tout de même ???!!! Tu ne ferais pas çà ! ( http://www.secuser.com/alertes/2005/baglebf.htm )

Bonsoir benjamin2020, bonsoir à tous, Firefox évite les attaques pirates parce que les pirates ciblent le max d'internautes c'est à dire les utilisateurs d'IE et par le plus efficace c'est à dire les failles ActiveX !FireFox a aussi quelques failles mais elles sont moins pénalisantes (pas ActiveX), moins nombreuses (conception de FF ecbtrée sur la sécurité) et répareées plus rapidement (structure de maintenance plus légère que celle de Microsoft). Un antivirus en ligne avec la technique Java -> HouseCall de Trend Micro - http://fr.trendmicro-europe.com/consumer/p...call_launch.php

Rebonsoir franckie14, rebonsoir à tous, Stoppe les processus suivants dans le Gestionnaire des tâches : - C:\Program Files\AutoUpdate\AutoUpdate.exe - C:\WINDOWS\System32\bidmsg.exe - C:\WINDOWS\System32\c_gpxl32.exe Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes : - AutoUpdater Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.unika.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe -> ffisearch.exe iSearch "Desktop Search" hijacker O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" -> AutoUpdate.exe PeopleonPage foistware -> http://www.pchell.com/support/peopleonpage.shtml O4 - HKLM\..\Run: [572Q38i] c_gpxl32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Kwt4RUG7O] bidmsg.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.cg14.fr/sig/mg60ctrl_windows_activex_ie.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1106116659703 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\ir46l5hs1.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - c:\windows\system32\aklsp.dll - C:\WINDOWS\isrvs (supprime le dossier) - C:\Program Files\AutoUpdate (supprime le dossier) - c_gpxl32.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) - bidmsg.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) - télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau - lancer LSPfix et se mettre en plein écran pour voir boutons et ascenseurs - fermer Internet Explorer et arrêter la connexion à Internet - cocher la case "I know what I'm doing" (je sais ce que je fais) - dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer (ici c:\windows\system32\aklsp.dll) - cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE - scroller et cliquer sur Finish. Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l'extension.anc : - C:\WINDOWS\system32\ir46l5hs1.dll Si tout est bon dans 2 jours, tu les supprimeras. Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir franckie14, bonsoir à tous, Je démarre une analyse de ton rapport HijackThis... réponse d'ici 20-30 minutes !

Benjamin, Utilise plutôt cet excellent scan -> http://virusscan.jotti.org/

Rebonsoir Bamiléké, rebonsoir à tous, ---édition : Bonsoir queruak, désolé pour le télescopage ! ----- eScan : Utilise eScan ( http://www.mwti.net/antivirus/free_utilities.asp ) Attention, c'est très long... mais très efficace : ----- SpHjfix/SpSeHjfix (Rx SP.html SP.exe) : Utilise SpHjfix/SpSeHjfix de Seeker ( http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix ) : Stoppe le processus suivant dans le Gestionnaire des tâches : - C:\WINDOWS\ATLZQ.EXE Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes : - SinEspias ou Anti Spyware Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ylxti.dll/sp.html#12345 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing F1 - win.ini: run=hpfsched O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Class - {874E2B13-7345-DD9F-8012-E46E92AC10CC} - C:\WINDOWS\SYSTEM\IEQT32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [systemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\SYSTEM\bgsmsnd.exe O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\SYSTEM\fppdis1a.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [uSBDetector] C:\USBStorage\USBDetector.exe O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [8155.TMP] C:\WINDOWS\TEMP\8155.TMP.exe 0 28129 O4 - HKLM\..\Run: [20D3.TMP] C:\WINDOWS\TEMP\20D3.TMP.exe 0 28129 O4 - HKLM\..\Run: [20D3.TMP.EXE] C:\WINDOWS\TEMP\20D3.TMP.EXE 0 28129 O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [ATLZQ.EXE] C:\WINDOWS\ATLZQ.EXE O4 - HKLM\..\Run: [sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun O4 - HKLM\..\Run: [Anti Spyware] "C:\PROGRAM FILES\SINESPIAS\NO-SPY.EXE" /autorun O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [MFCRV32.EXE] C:\WINDOWS\MFCRV32.EXE /s O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: PowerReg Scheduler V3.exe O12 - Plugin for .AVI: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/fr/t.../ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.dll O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/upl...ileUploader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23efad0f4a45b3...RdxIE601_fr.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". ----- DelDomains.inf (O15) : Pour se débarrasser des lignes O15 qui pourraient rester, on va suivre ces conseils de Mike Burgess ( http://www.mvps.org/winhelp2002/restricted.htm ) : Redémarre l'ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\WINDOWS\system\ylxti.dll - C:\WINDOWS\SYSTEM\IEQT32.DLL - C:\WINDOWS\ATLZQ.EXE - C:\WINDOWS\MFCRV32.EXE - C:\Program Files\SinEspias (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir Bamiléké, bonsoir à tous, Commence par faire un peu de ménage dans ton système : - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ (ActiveX) ou http://fr.trendmicro-europe.com/consumer/p...call_launch.php (Java) ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et essaie de réparer, sinon, supprime ! - examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve - examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve - examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Pendant ce temps, j'analyse ton rapport HijackThis !... retour d'ici 15 minutes ! ---édition : désolé... il me faut m'absenter, je ne serai sûrement pas de retour avant une bonne heure !

Bonsoir nebuchad34, bonsoir à tous, J'en ai mal aux yeux ! Je suis décontenancé par tes modules inhabituels ! Je crois que j'aie ta bestiole !!! O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\mvnol9531.dll qui était O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\hrr2059oe.dll dans ton premier post ! Lors de l'analyse du premier rapport, je n'avais pas trouvé beaucoup d'informations : ni pour ni contre mais vu les nombreux modules inhabituels qui sont dans ton système, j'ai pensé que ca en était encore une... vu le libellé "Unimodem", j'ai été influencé mais Comme la DLL a changé dans le 2ème rapport, on est sûr que ce n'est pas un fichier légitime avec son nom aléatoire ! J'essaie de trouver plus d'infos ! Essaie aussi de ton côté, s'il te plaît !

Bonjour phil78, queruak, bonjour à tous, Merci pour ton post nous indiquant qu'A² a été capable d'éliminer lop Phil, tu devrais éditer ton post car il n'est pas prudent de laisser ton adresse e-amail... je l'ai laissée car il pourrait s'agir d'une adresse que tu considères comme susceptible de recevoir n'importe quoi... bien que laposte.net ne soit pas une jetable !

Hello queruak, Il me semble que les protocoles sont en O13, non ? Non, les O15 sont faciles !

Rebonjour nebuchad34, stonangel, rebonjour à tous, Okay ! Je m'étais avancé et laissé abuser par tes nombreux fichiers spéciaux (émulation Mac et autres particularités)... il n'y a rien de méchant... même si j'ai l'oeil sur about:blank ! Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=C:\WINDOWS\MacOsBoot.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [bDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [WinPLOSION] "C:\Program Files\WinPLOSION\WinPlosion.exe" O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [WindowFX] C:\PROGRA~1\Stardock\OBJECT~1\WindowFX\\wfxload.exe O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\idman.exe /onboot O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: AveDesk.lnk = G:\Programmes (boot)\AveDesk\AveDesk.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\hrr2059oe.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Rebonjour , rebonjour à tous, Tu as raison ! Idmmbc.dll n'est pas infectieux ; il s'agit simplement d'un module valide mais qu'HijackThis ne connait pas ! en ce cas, tu n'as pas de souci à te faire... sauf à écrire à Merijn ou mieux, à chercher dans quelle table LSP regarde HJT pour demander à l'internaute qui entretient cette Base de données, d'inclure ton module ! Je regarde le reste de ton rapport HijackThis

Rebonjour franckie14, rebonjour à tous, Troisième post mais qui doit être pris en considération en premier lieu l Dans mes 2 posts précédents, j'ai répondu à tes questions mais ce n'est pas comme çà qu'il te faut traiter le problème... J'aimerais que tu postes ton rapport HijackThis complet car si tu as négligé certaines lignes infectieuses, il y aura réinfection !

Bonjour nebuchad34, bonjour à tous, On peut voir de nombreuses lignes infectieuses dans ton rapport HijackThis ! Regarde la discussion "suppression de lignes" de franckie14 ( http://forum.zebulon.fr/index.php?showtopic=64483 ) qui te concerne aussi, pour quelques explications relatives aux lignes O10 ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Rebonjour à tous, Après la théorie de mon post précédent, la pratique ! aklsp.dll est un malware si je me fie à http://castlecops.com/lsp-152.html - suppression du fichier c:\windows\system32\aklsp.dll du disque dur grâce à l'Explorateur Windows - suppression du module aklsp.dll de la chaîne LSP grâce à LSPfix ( http://www.cexx.org/lspfix.zip ) (source : ma page Web -> http://gerard.melone.free.fr/IT/IT-HJT2.html#OPnj1 ) HTH

Bonjour franckie14, chercheur, bonjour à tous, Je te souhaite la bienvenue sur Zebulon ! Voici les explications attendues : - HijackThis refuse de traiter le problème des O10 car c'est un point délicat que seul un humain peut considérer ! - il y a 3 sortes de messages O10 : --- O10 - Hijacked Internet access by New.Net détection d'un malware connu d'HJt --- O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing détection d'un fichier manquant dans la chaîne LSP --- O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll détection d'un programme inconnu ! Well! Pour accéder à l'Internet, IE donne le contrôle à une série de modules inclus dans la "chaîne LSP"... des modules infectieux sont susceptibles de venir s'insérer dans cette série et ainsi, d'avoir le contrôle de ton système. HijackThis vérifie le caractère non infectieux de chacun de ces modules ; une base de données utile est la liste de Zupe -> http://www.angeltowns.com/members/zupe/lsps.html (autres : http://computercops.biz/LSPs.html ou http://spywaredata.com/spyware/lsp.php? ) Tout d'abord, il y a risque de bloquer toute connexion à l'Internet si le problème est mal traité ! Il faut, au préalable, télécharger LSPfix ( http://www.cexx.org/lspfix.zip ou http://www.downloads.subratam.org/lspfix.zip ou http://computercops.biz/downloads-file-334.html ) avant de perdre la connexion ! Je disais qu'il y avait 3 sortes de messages HJT - fichier infectieux détecté (NewdotNet ou WebHancer) : il faut désinstaller le nastie et éventuelement passer LSPfix - fichier douteux : il faut examiner la liste LSP de Zupe pour savoir s'il est simplement bon mais inconnu d'HJT, ou néfaste S'il est bon et inconnu, on ne fait rien S'il est néfaste, on est ramené au cas #1 - fichier manquant : voila un module auquel doit être donné le contrôle mais il n'existe plus (probablement enlevé par un anti-xxx), il risque d'y avoir des ennuis de connexion ! Il faut traiter avec LSPfix Tu es dans le cas #2 ! - recherche dans la liste des LSP de Zupe -> http://www.angeltowns.com/members/zupe/lsps.html pour déterminer si aklsp.dll est bon ou pas S'il est bon, on laisse tel quel S'il s'agit d'un nastie, il faut passer LSPfix et supprimer le module du disque dur LSPfix : comme son nom l'indique, il répare la chaîne LSP. Ce programme liste les modules inclus dans la chaîne LSP, c'est à dire les modules auxquels est donné le contrôle avant accès à Internet. Ce programme permet facilement (en changeant de colonne), d'enlever certains modules de la liste ! Normalement, ce sont des modules du fournisseur d'accès à Internet qui sont dans cette liste !

Bonjour guypont, Gothic_Ted, bonjour à tous, Les virus sont devenus ultra rares ! Les spywares/adwares/chevaux de troie/vers sont bien plus courants ! Les virus altéraient des fichiers existants La deuxième catégorie ne touche pas, en général, à des fichiers existants amis ajoutent des fichiers et altérant la base de registres pour réaliser leur activation ! Il y a de fortes chances pour que le fichier dont tu parles soit simplement à détruire (c'est un ver) ! Quel est son nom ? de quel répertoire vient-il ?

Bonjour lilium, queruak, did71, gayboyfr, bonjour à tous, Zut ! J'arrive bien trop tard ! Voila ce que c'est... à droite et à gauche le samedi matin ! Queruak, tu as un démarrage un peu lent (comme Schumacher) mais ton rythme de croisière est bon (comme Schumacher... l'an dernier !). Quel plaisir pour toi, ce log ! un peu facile mais sait-on jamais ! ----- gayboyfr, en même temps que la création du forum Sécurité de Zebulon, il y a un changement dans le niveau de réponse ! Remarque bien la réponse de queruak : - désinstallation des applications douteuses - téléchargement des outils nécessaires - affichage de tous les fichiers et désactivation éventuelles des protections de BdR - arrêt des processus infectieux - fix des lignes néfastes par HJT - lancement de Del_Domains car queruak sait très bien qu'il y a 80 % de chances que le fix ne parvienne pas à éliminer les O15 - suppression des dossiers et fichiers incriminés par l'infection - suppression des fichiers inutiles - nouveau log HJT SpyBot, Ad-Aware et autres scans anti-xxx permettent de nettoyer le tout venant mais n'iront pas loin en face de jolis Hijackings ! ----- lilium, HijackThis est un outil merveilleux mais il est fait pour les internautes qui connaissent assez bien le système et les malwares ! Pour le moment, suis les instructions de queruak et regade les autres discussions pour apprendre à l'utiliser avant de l'appliquer chez toi, puis ensuite pouvoir commencer à conseiller les autres !

Rebonsoir queruak, Tu es bien trop lent ! lol un quart de poil de seconde après moi !

Rebonsoir lilium, did71, rebonsoir à tous, Ne touche à rien dans la liste HijackThis... - télécharger HijackThis ( http://www.merijn.org/files/hijackthis.zip ). (Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm) - l'installer dans un répertoire spécifique (peu importe où mais pas dans un répertoire de fichiers temporaires ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm). - il est très important d'avoir la toute dernière version du logiciel. - fermer toutes les fenêtres. - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse.