Aller au contenu

ipl_001

Administrateur Espace Sécurité
  • Compteur de contenus

    24 225
  • Inscription

  • Jours gagnés

    8

Tout ce qui a été posté par ipl_001

  1. Bonsoir BaRtWoRlDv6, Médicus 33, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !
  2. Bonsoir S.Birkoff, bonsoir à tous, Excuse moi de m'être mal expliqué ! Je ne comprends pas tres bien....il faudrait que je mette les infos sur les differentes moteurs les uns à la suite des autres ? ( ex : 2.18 ajout de....puis 2.16 ajout de.... ) Si c'est cela aucun problème je le ferai. Sacles a écrit une petite introduction (également dans ma discussion -=Bienvenue...=-) sur ce que pourrait bien être des discussions efficaces sur ce forum :- une discussion relative aux grands logiciels - j'ai complété (du moins, il me semble) en disant qu'une bonne chose serait d'avoir le premier post de chaque discussion mis à jour de manière à avoir les toutes dernière infos Comme ton post était relatif -de manière très précise- à la version 2.18, j'ai donc écrit qu'il serait bien que tu reprennes ce premier post pour : - une partie récapitulant la toute dernière version - conserver, les infos sur la 2.18 (même lorsqu'on en sera à la 2.36) En quelque sorte, que tu prépares la partie récapitulative (pour l'avenir) Je ne sais pas d'ou vienne ces differences de taille....? En tout cas on a de bonne raison de croire que la 2.18 n'est pas un canular mais bien une mise à jour en bonne et due forme Bonne journée S.B Non la v2.18 n'est pas un canular ! On peut tout au plus regrêter la mauvaise mise en forme de Trend Micro, qui annonce que la dernière est la 2.16 alors que si on demande la mise à jour à partie de la 2.16, on obtient la 2.18 ! Pour ce qui est du poids : - tu écris - j'ai toute une collection des versions de CWShredder et je remarque que les tailles que tu donnes sont celle du .exe pour la 2.16 et celle de la .zip pour la 2.18
  3. Bonsoir tesgaz, S.Birkoff, bonsoir à tous, L'idée est très bonne mais difficile à mettre en oeuvre : - il y a trop de malwares et il est impossible d'être exhaustif... bien sûr, il serait possible de créer ces procédures pour certains seulement (les plus courants ? ceux rencontrés et qui inspirent un membre ?) - ces bases de connaissances existent dans des espaces réservés - les malwares les plus virulents sont modifiés fréquemment et les procédures doivent suivre. Une procédure ancienne peut s'avérer "dangereuse" - des sites spécialisés, voire les discussions les plus récentes sur les grands forums de sécurité sont une référence plus sûre car prenant en compte les plus récentes avancées dans la lutte antimalware - certains utilitaires sont annoncés comme à ne pas mettre entre toutes les mains ! - de même, du fait de la "mutation" des malwares, certaines procédures ne peuvent être qu'un plan de base et sont à adapter au cas particulier. Sur les forums, il y a souvent lancement d'un logiciel d'analyse du système (Silent Runners ou autres) et création d'un utilitaire (fichier .bat ou .vbs) sur mesure - etc.
  4. Bonsoir à tous, Je poste ici un MP reçu : Merci à toi pour cette information bien utile !
  5. Bonsoir colibri7k, S.Birkoff, bonsoir à tous, Ton système est bien infecté par Look2Me ! S'agit-il de ton ordinateur professionnel ? Sophos AV est-il à jour ? Sophos signale-t-il quelque chose ? Télécharge Uninstaller.exe ( http://www.look2me.com/cgi-bin/UnInstaller ) et lance l'exécution de l'utilitaire. Dis nous quel est le message. Poste un nouveau rapport HijackThis.
  6. Oui, je te vois sur PC-entraide et GNT...C'est avec joie que je lirai tes intervention sur Zeb'Sécurité ! ... Boot Camp de SWI... Excellente école !
  7. S.Birkoff, je renouvelle mes félicitations pour la justesse de ton analyse ! - j'ai corrigé (un L à la fin) Pour faire quelques remarques, je suis obligé d'aller chercher des broutilles : - pour la suppression, indique mieux lorsqu'il s'agit de supprimer des dossiers (certes, un utilisateur de bon niveau n'hésitera pas longtemps mais tu ne connais pas le niveau de colibri7k et il pourrait être perdu)- lorsque tu ne connais pas le niveau de l'utilisateur, donne quelques précisions en donnant le nom exact des répertoires C:\PROGRAm Files\COMMON Files\uwmu au lieu de C:\PROGRA~1\COMMON~1\uwmu - en général, j'inclus dans ce nettoyage des éléments que tu classes dans l'optimisation (la limite est bien ténue) mais qui, de notoriété publique - LOL - gaspillent les ressources du système comme O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe et O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE Remarque sur mes remarques : tesgaz n'aime pas trop me voir prendre les utilisateurs par la main en donnant des détails et des précisions de bébé ! Chapeau ! Ces about:blank peuvent cacher quelque chose de plus sérieux... et on mettra les gros outils en branle si nécessaire !
  8. Bonjour colibri7k, S.Birkoff, bonjour à tous, colibri7k, je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! >des fenetres internet s'ouvrent sans que je ne l'ai demandé. Les malwares manquent de la plus élémentaire des politesses ! S.Birkoff, je te félicite et je te remercie vivement pour ta participation et ta prudence ! Je regarde ta réponse !
  9. Rebonjour caillouxe, Stonangel, rebonjour à tous, Pas bien grave sauf que çà faisait une discussion à laquelle Stonangel avait répondu sans obtenir de réponse de toi.Pour retrouver tes discussions, clique en haut à gauche sur ton pseudo après 'Connecté en tant que', puis en haut à droite, déroule la liste "Options" pour choisir "Trouver tous les sujets de ce membre". Oui, ce doit être la raison !Je te demandais çà car dans un rapport HijackThis d'XP en mode sans échec, il y a 8 processus (y compris la ligne HijackThis"... là, j'en avais un neuvième alors, je demandais comment le 9ème était arrivé (tu avais utilisé QuickZip et avait laissé le programme ouvert) ! A bientôt ! Tu as une infection impressionnante de par le bon nombre de lignes néfastes mais on va nettoyer tout çà !... je n'ai pas vu de pare-feu : as-tu une connexion permanente ?
  10. Bonjour caillouxe, Stonangel, bonjour à tous, édition : j'ai fusionné 2 discussions !
  11. Rebonjour caillouxe, rebonjour à tous, Ton système est infecté, en particulier, par plusieurs variétés de Network Essentials ! * ADW_SRCHENH.A alias Search-Exe (PestPatrol), SCBAR (Ad-aware), Adware.WebBar (Symantec)) et ces pages qui apportent des explications (aux analystes du forum) : -> de Symantec - http://securityresponse.symantec.com/avcen...are.webbar.html -> de Trend Micro - http://www.trendmicro.com/vinfo/grayware/v...W%5FSRCHENH%2EA Autres pages d'info : -> http://www.spywareremove.com/remove9368D06...9663FD38FC.html -> http://forums.spywareinfo.com/lofiversion/....php/t6656.html * Adware.SmartPops (Symantec : -> http://securityresponse.symantec.com/avcen....smartpops.html -1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Télécharge "spyhunterS.exe" ( http://www3.enigmasoftware.com/download/spyhunterS.exe ) -3- Redémarre l'ordinateur en mode sans échec. -4- Lance "spyhunterS.exe" -5- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : --- Networks Essentials --- MyBar ou MyWay --- MediaLoads Enhanced ou MediaLoads Installer --- MessengerPlus (tu réinstalleras si tu y tiens vraiment lorsque tout sera bien propre mais "sans les sponsors" !!!) Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yevkxrtwjizixcftghnsm.us/2Tp736...L5h3oehEFTR.asp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cg...k=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cg...look=stmpl1&fw= R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Program Files\se\v11\se.DLL O2 - BHO: WebBho Class - {00041A26-7033-432C-94C7-6371DE343822} - C:\Program Files\se\v11\se.DLL O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Program Files\Recommended Hotfix - 421701D\v15\RH.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O2 - BHO: (no name) - {115A8262-99C7-9AC2-0197-8E661C55EC56} - C:\DOCUME~1\HLNE~1\APPLIC~1\ITCHRE~1\Mapionce.exe (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Program Files\MediaLoads Enhanced\ME2.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [Microsoft Windows Updater] winupdgm.exe O4 - HKLM\..\Run: [service Controller] csrrs.exe O4 - HKLM\..\Run: [GMTZDJQ] C:\WINDOWS\GMTZDJQ.exe O4 - HKLM\..\Run: [JTGQD] C:\WINDOWS\JTGQD.exe O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Program Files\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [PromulGate] "C:\Program Files\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [search-Exe] "C:\Program Files\se\v11\se.EXE" /H O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Hélène\Mes documents\Dossiers Steph\Ma musique Steph\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Hold Fork Army Roam] C:\Documents and Settings\All Users\Application Data\OptionSupportHoldFork\Time Amok.exe O4 - HKLM\..\RunServices: [Microsoft Windows Updater] winupdgm.exe O4 - HKLM\..\RunServices: [service Controller] csrrs.exe O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe O4 - HKCU\..\Run: [system Soap Pro] C:\Program Files\System Soap Pro\soap.exe min O4 - HKCU\..\Run: [MessengerPlus3] "C:\Documents and Settings\Hélène\Mes documents\Dossiers Steph\Ma musique Steph\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [DeafFord] C:\DOCUME~1\HLNE~1\APPLIC~1\PLAYWA~1\active for new.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version6/Applet/wchatsign.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/30f0ef540998c13cdb06/...RdxIE601_fr.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200306...meInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O23 - Service: Configuration Loader - Unknown owner - C:\WINDOWS\System32\scvhost.exe" -service (file missing) O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing) -7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\GMTZDJQ.exe --- C:\WINDOWS\JTGQD.exe --- C:\Documents and Settings\Hélène\Mes documents\Dossiers Steph\Ma musique Steph\MsgPlus.exe --- C:\Program Files\se (supprime le dossier) --- C:\Program Files\Recommended Hotfix - 421701D (supprime le dossier) --- C:\Program Files\MediaLoads Enhanced (supprime le dossier) --- C:\Program Files\MyWay (supprime le dossier) --- C:\Program Files\DownloadWare (supprime le dossier) --- C:\Program Files\DelFin (supprime le dossier) --- C:\Documents and Settings\All Users\Application Data\OptionSupportHoldFork (supprime le dossier) --- C:\Program Files\System Soap Pro (supprime le dossier) --- C:\DOCUMEnts and Settings\HéLèNE\APPLICation Data\ITCHRE~1 (supprime le dossier) <- çà veut dire supprime le dossier qui commence par ITCHRE sachant que les minuscules accentuées et les espaces ont été enlevées --- C:\DOCUMEnts and Settings\HéLèNE\APPLICation Data\PLAYWA~1 (supprime le dossier) <- çà veut dire supprime le dossier qui commence par PLAYWA sachant que les minuscules accentuées et les espaces ont été enlevées --- winupdgm.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- csrrs.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- scvhost.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) Attention ! ne pas confondre avec svchost.exe En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Qu'en est-il de dysfonctionnements éventuels ? Je n'ai pas encore suivi les direcives de Symantec ou Trend (liens donnés au tout début) : il nous faudra le faire lors des prochains posts !
  12. ---édition : Cette discussion est le résultat de la fusion de 2 : voila pourquoi, je donne l'impression de brûler la politesse à Stonangel ! Il n'en est rien ! Excuse moi Stonangel ! Bonjour caillouxe, bonjour à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Il faut que tu continue dans la même discussion ( http://forum.zebulon.fr/index.php?showtopic=77729 ) Peux-tu me dire, s'il te plaît, si c'est toi qui as lancé QuickZip.exe en mode sans échec (ou s'il se lance lui-même) ? Déplace HijackThis dans un répertoire dédié (comme C:\Program Files\HijackThis) sinon, on risque de perdre le dossier Backup qui sera créé (et donc les possibilités de retour en arrière). Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !
  13. Bonsoir lomaster, Jack_Burton, bonsoir à tous, Les O16 correspondent au contenu de C:\Windows\Downloaded Program Files, c'est à dire à des modules qui ont déjà été téléchargés et installés... comme il y a parfois des modules néfastes et que les autres sont inutiles, nous choisissons de fixer ces lignes. Si Windows en a encore besoin, il les redemandera ! une sensation de propreté, de netteté, de liberté ! Pour ce qui est des autres lignes, il faut distinguer : - les absolument obligatoires comme l'AntiVirus, le pare-feu, le modem... on garde ! attention que ces éléments sont souvent activés par des services et que des O4 y ressemblant ne sont obligatoires - des infectieuses/néfastes... à supprimer - des inutiles qui prennent une part non négligeable de la puissance du processeur telles que OSA.exe -> http://www.bleepingcomputer.com/startups/Osa.exe-2924.html Nous les fixons. Il est vrai que quelques unes des lignes de cette catégorie reviendront (lorsque le programme sera sollicité) comme par exemple le module qui marche avec Real Player (O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot)... c'est vrai qu'il faudrait aller plus loin dans la désinstallation parce que beaucoup de ces programmes ne te demandent pas pour s'installer ! - des inutiles qui sont en mémoire parce que l'éditeur du logiciel en question veut se mettre dans de bonnes conditions pour réagir rapidement lorsqu'on le lance. Lorsqu'on analyse les programmes, les tables nous indiquent des éléments non utiles... il est aussi valable de les lancer lorsque (et seulement lorsque) on en a besoin. Nous fixons lorsque l'internaute nous demande une optimisation. Tesgaz a écrit le premier message de cette discussion... tesgaz aime bien les systèmes rapides, nerveux et épurés ! Je ne crois pas le trahir en disant que si un module n'est pas nécessaire, il est inutile ! Tesgaz va plus loin : si on fixait toutes les lignes du rapport HijackThis, Windows fonctionnerait ! Il y aurait juste quelques dysfonctionnements à cause des éléments relatifs au modem, au pare-feu, etc. N'oublie pas que Zebulon est "Le site de l'Optimisation PC". CastleCops et les sites auxquels tu penses sont des sites antispyware, point final (leur but est de désinfecter les systèmes infectés) !
  14. Bonsoir S.Birkoff, bonsoir à tous, Oui, pour moi, ton information est impeccable vu que les maj de CWShredder ne sont pas monnaie courante et, de plus, c'est un peu le bazar avec le site de l'éditeur qui annonce que la dernière est la 2.15 ! S.D., veux-tu bien -à l'avenir-, récapituler les choses dans le message initial de la discussion... tu pourrais séparer : - une partie récapitulant la toute dernière version - conserver, les infos sur la 2.18 (même lorsqu'on en sera à la 2.36) Je ne comprends pas bien ce que tu écris là !Chez moi : cwshredder-Tr218.zip fait 242 Ko cwshredder-Tr216.zip fait 198 Ko cwshredder-Tr218.exe fait 520 Ko cwshredder-Tr216.exe fait 223 Ko cwshredder-Tr215.exe fait 482 Ko CWShredder214.exe fait 455 Ko je n'ai pas la 213 CWShredder212.exe fait 454 Ko CWShredder211.exe fait 446 Ko CWShredder1591.exe fait 146 Ko La version 2.18 est encore valable pour Win9x et ME, en même temps qu'elle ajoute NT4 et 2003. J'ai ramené la discussion dont tu parles au sein de ce sous-forum ! Voici le post de hayC59 que m'a signalé Chachazz : (source : http://gladiator-antivirus.com/forum/index...showtopic=15551 )Discussion sur DSLR -> http://www.broadbandreports.com/forum/remark,14663924
  15. Bonsoir Bacillus, bonsoir à tous, Quelques remarques de la part du modérateur : - ne poste pas 3 messages de suite, édite le premier (des 3) - lorsque tu réponds au post qui précède, ne reproduis pas le texte ; clique sur le bouton "Répondre" qui est entre Flash et Nouveau, tout au bas de la discussion.
  16. Bonsoir ansouille, bonsoir à tous, Je suis d'un naturel très prudent et si tu as suivi mes directives à la lettre, ce ne sont pas elles qui ont abouti au blocage du système ! Si tu en as la possibilité, restaure les backups d'HijackThis ou reviens à une ancienne version du système. Néanmoins, je vois une erreur dans mes directives, il s'agit de la ligne O18 Je me suis laissé emporter par la longue série des O16, mais détraquer MSN Messenger, d'accord mais pas détraquer le système ! Il y avait plusieurs éléments néfastes dans ton rapport HJT ! Si tu as suivi les directives à la lettre, tu as du pouvoir rechercher wininet.exe, qu'est-ce que çà donne ? Si ton gestionnaire des taches peut être lancé, tu peux lancer des applications... en particulier, Explorer.exe Que donne le mode sans échec ?
  17. Bonsoir rtgiman, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Il ne s'agit pas d'un problème de Sécurité mais de Système... Lorsque tu as entré ton mot de passe Windows, que se passe-t-il ? rien ? Peux-tu faire Alt-Ctrl-Suppr pour essayer de lancer le processus Explorer (si le programme existe) ? As-tu pu examiner le disque dur en démarrant avec une disquette Dos si gestion de fichier FAT ou en montant de disque en esclave d'un autre ordi ? Si Explorer.exe est toujours sur le disque, il peux s'agir d'un clé manquante dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Bon, si tu n'as pas envie de chercher, tu dois : - démarrer l'ordinateur sur le CD d'installation de 2000 - réinstaller en place Y a-t-il des données importantes sur le disque ?
  18. Rebonsoir ansouille, rebonsoir à tous, -1- Recherche 'wininet.dll' sur ton disque ; le fichier standard devrait être en 2 exemplaires (pour moi) : - 647 Ko version 6.0.2900.2753 dans C:\Windows\System32 au 03/09/2005 02:06 - 645 Ko version 6.0.2900.2180 dans C:\Windows\ServicePackFiles\i386 au 20/08/2004 01:09 -2- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -3- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Télécharge "Lopremover" ( http://www.thespykiller.co.uk/files/lopremover.exe ou sur http://www.lop.com/new_uninstall.exe (page de démarrage) ou http://lop.com/toolbar_uninstall.exe (toolbar) ou http://66.220.17.157/new_uninstall.exe (page de démarrage) ou http://66.220.17.157/toolbar_uninstall.exe (toolbar) Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas ! ou http://www.thatcomputerguy.us/downloads/lo...w_uninstall.exe (page de démarrage) ou http://www.thatcomputerguy.us/downloads/lo...r_uninstall.exe (toolbar) ) : Lop peut détourner la page de démarrage et/ou installer une barre d'outils. Attention, il se peut que ton antivirus se mette à hurler lors de cette opération car il croira y reconnaître le malware ! -4- Redémarre l'ordinateur en mode sans échec. -5- Lance LopRemover -6- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : --- Messenger Plus! (tu réinstalleras après nettoyage si tu en as envie mais "sans les sponsors") --- 2 as 2 antivirus... en as-tu désinstallé un ? Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -7- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vmomgoynicafqyrjdwc.com/6FD/Dwm...stjhKk9rN4.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpADC5.tmp (file missing) O4 - HKLM\..\Run: [WIN USB 2.0] usbsystem.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [EqUpPhoneMfcd] C:\Documents and Settings\All Users\Application Data\Bleh Part Eq Up\Ante Regs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe O4 - HKLM\..\RunServices: [zerzvpack2] uzpdate2.exe O4 - HKLM\..\RunServices: [WIN USB 2.0] usbsystem.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [WIN USB 2.0] usbsystem.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [for log] C:\DOCUME~1\An'So'\APPLIC~1\CORNBI~1\Beep spam.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} - http://adserver.sharewareonline.com/adserver/Install.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {3AE9ED90-4B59-47A0-873B-7B71554B3C3E} (JoystickCtl Class) - http://www.neodelight.com/_games//supersoccer/joystick.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/055f4f517f48b4...RdxIE601_fr.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: st3i - C:\WINDOWS\q20451477.dll -8- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -9- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\System32\intell32.exe --- C:\WINDOWS\q20451477.dll --- C:\Program Files\Messenger Plus! 3 (supprime le dossier) --- C:\Documents and Settings\All Users\Application Data\Bleh Part Eq Up (supprime le dossier) --- C:\Documents and Settings\An'So'\Application Data\CORNBI~1 (çà veut dire un nom qui commence par CORNBI - supprime le dossier) --- usbsystem.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- uzpdate2.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) --- PDSched.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -10- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Qu'en est-il de dysfonctionnements éventuels ?
  19. Bonsoir ansouille, bonsoir à touss, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Pourquoi ton système n'est-il pas à jour ? Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !
  20. Rebonsoir tidamiano, rebonsoir à tous, Pour mettre le système d'exploitation à jour : http://windowsupdate.microsoft.com/ -1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) -3- Redémarre l'ordinateur en mode sans échec. -4- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : --- Messenger Plus (c'est un pourvoyeur de malwares ! tu réinstalleras si tu y tiens mais "sans les sponsors") --- tu as 2 antivirus, mais peut-être en as-tu déjà désinstallé un Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -5- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1130198187999 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1130198180858 O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\jtj0071me.dll -6- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -7- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\system32\jtj0071me.dll --- C:\Program Files\MessengerPlus! 3 (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -8- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Qu'en est-il de dysfonctionnements éventuels ?
  21. Bonsoir tidamiano, bonsoir à tous, Voici une première raison : ton système a des années de retard ! Voici une deuxième raison : Messenger Plus est un aimant pour les spywares s'il n'est pas installé "sans les sponsors" ! Voici une troisième raison : tu me sembles être connecté, la plupart du temps, en Administrateur ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !
  22. Bonsoir WatchDog, bonsoir à tous, Tu dis que ton logiciel utilise une clé de cryptage de 8.192 bits !!!??? Wow ! J'avoue ne pas comprendre grand chose à ta question ! Ou plutôt si... je crois comprendre que tu t'inquiète pour la sécurité de ton mot de passe ! Si tu as un bon keylogger, eh bien, tu es mal !
  23. Bonsoir à tous, Comme indiqué par Sacles ( http://forum.zebulon.fr/index.php?showtopic=77708 ), un outil de sécurité doit être mis à jour systématiquement chaque fois qu'on veut l'utiliser ! Il n'est donc pas utile, sauf périodiquement, lors de grosses maj (de moteur par exemple), d'indiquer aussi la dernière mise à jour de définition des malwares. D'autre part, dans le cas de Ewido, il est à rappeler que ce logiciel est à l'essai pendant 14 jours et qu'au dela, il est pleinement fonctionnel mis à part l'automatisme de la mise à jour !
  24. Bonsoir lilium, charles ingals, S.Birkoff, bonsoir à tous, lilium, lis soigneusement ! S.Birkoff a répondu et tu n'en dis pas un mot !?!?!?
  25. Bonsoir à tous, Si cette discussion semble bizarre, c'est parce qu'elle provient de la fusion de 2 !
×
×
  • Créer...