ipl_001

Sûr ! vas-y ZoX' !

Bonsoir foxxb, ZoX', bonsoir à tous, Est-ce que tu es muet ?

Bonsoir Filo..., Stonangel, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Avec les dysfonctionnements que tu as, tu as raison de t'inquiéter !

Bonsoir tirol, bonsoir à tous, N'est-il pas en lecture seule ? Oui, il y a des outils qui protègent Hosts contre toute modif : - SSD - Hostsman - peut-être Hoster

Bonsoir megataupe, bonsoir à tous, Merci pour ton message ! J'ajoute que le lien que tu donnes est celui du site de Jacques "Jack" Calicis, MS-MVP Belge et de Christian Hougardy, MS-MVP Français ! tous 2 très généreux, serviables et sympas ! Pour ma part, après un tour sur les pages de Symantec, j'ai téléchargé plusieurs outils de nettoyage des restes de NAV : - Rnav2003.exe 348 Ko Doc -> http://service1.symantec.com/SUPPORT/nav.n...001092114452606 Doc -> http://service1.symantec.com/SUPPORT/INTER...011010123420905 D/L -> ftp://ftp.symantec.com/misc/consumer/Rnav2003.exe - RnisUPG.exe 144 Ko Doc -> http://service1.symantec.com/SUPPORT/INTER...=&osv=&osv_lvl= D/L -> ftp://ftp.symantec.com/public/english_us_...nis/RnisUPG.exe - SYMCLN.EXE 202 Ko Doc -> http://quarterbacks.org/Norton/ Doc -> http://oshiete1.goo.ne.jp/kotaeru.php3?q=1547922 D/L -> ftp://ftp.symantec.com/public/japanese/tools/Symcln.exe D/L -> ftp://ftp.symantec.com/public/francais/pr...lean/SYMCLN.EXE - SymNRT.exe 662 Ko doc -> http://www.msmvps.com/XPditif/ doc -> http://service1.symantec.com/SUPPORT/tsgen...=&osv=&osv_lvl= D/L -> ftp://ftp.symantec.com/public/english_us_...sgen/SymNRT.exe

!!!???!!! La vache ! incroyable !!! 8 sur 10 soit 2 sur 10 non infectés... je ne suis pas infecté LOL une autre après moi puis 8 ne pourront pas l'assurer ! ) Ce n'est pas le moment de faiblir !

Bonsoir megataupe, tesgaz, bonsoir à tous, Je te remercie pour ce message ! Je suis toujours à l'affut de ces "récapitulatifs" qui permettent de mieux comprendre l'évolution du secteur ! Je n'ai fait jusqu'à présent qu'une lecture très rapide des pages que tu as indiquées mais j'ai quelques doutes ! Si Webroot connait son sujet (LOL), j'émets des doutes concernant Le_Doc ! J'ai l'impression que, comme tous les éditeurs, Webroot inclut toutes les sortes de malwares sous l'appellation de spywares (les éditeurs anciens disent virus) et en ce cas la phrase de Le_Doc : est en grande partie, erronée.Les malwares n'espionnent plus beaucoup... pour espionner (je veux dire pour "tracer le comportement de surf"). Tel que je le comprends, les malwares comprennent : - des spywares qui effectivement fichent les internautes en vue de lancer des campagnes de pub ciblées. Les pirates doivent se constituer un fichier Clients pour répondre aux demandes des régies publicitaires --- campagnes de pub (gentilles)... il suffit pour cela de disposer de l'adresse email --- des attaques d'Adwares... il faut pour çà un parc de machines infectées - des chevaux de Troie qui ouvrent les ports pour des méfaits plus conséquents : --- lancements d'attaques diverses (massmailings, dDoS, Adwares, Spywares) --- infections pour accroître le parc de zombies --- keyloggers --- phishing - virus (négligeable en nombre) A mes yeux, les spywares purs sont en perte de vitesse (juste en régime de croisière) mais les chevaux de Troie sont en croissance. Si la vente ou l'exploitatioon du fichier clients a rapporté quelques sous, les détournements de fonds et l'exploitation des zombies opèrent à une toute autre échelle ! et là, nous ne sommes plus dans les gentils spywares ! Mais cette distinction est un peu floue en ce sens que les pirates connaissent toutes les possibilités de chacune et se moquent bien pas mal de ces classifications !

Rebonsoir Julie88, tesgaz, rebonsoir à tous, -1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) -3- Redémarre l'ordinateur en mode sans échec. -4- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : --- Messenger Plus --- CMEII ou CMEsys Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -5- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [cxjlco] C:\WINDOWS\System32\yuouui.exe r O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe -6- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -7- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\Nail.exe --- C:\WINDOWS\System32\yuouui.exe --- C:\Program Files\Messenger Plus! 3 (supprime le dossier) --- C:\Program Files\Fichiers communs\CMEII (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -8- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. -9- Qu'en est-il des dysfonctionnements ? Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Rebonsoir Julie88, tesgaz, rebonsoir à tous, Avant de parler de ton rapport HJT, je te fais appliquer la procédure que nous a donnée CalamityJane sur Gladiator : (je n'ai fait qu'une toute petite adaptation pour respecter sa procédure ; bien sûr, CJ n'a pas vu ton rapport, sinon, elle aurait ajouté des éléments à fixer comme je l'ai fait dans le post suivant) Voici la manière de poster de CalamityJane... je vous fais remarquer les détails donnés et la parfaite politesse, le parfait respect de l'utilisateur ! Je reporte cette procédure dans l'article épinglé "-=Ressources=-" Merci Janie !

Rebonsoir Julie88, tesgaz, rebonsoir à tous, Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes ! As-tu effectué ton dernier rapport HijackThis en mode sans échec ? Je te pose cette question car la présence de C:\WINDOWS\System32\yuouui.exe parmi les processus m'inquièterait !

Bonsoir Julie88, tesgaz, bonsoir à tous, Quelques explications possibles : - as-tu affiché tous tes fichiers par : - parfois tesgaz a pris des précautions en mettant en doute l'affichage selon lequel les fichiers ne seraient plus sur le disque comme : O2 - BHO: (no name) - {86D08932-7CEF-ADB6-F577-D0381E04B78F} - C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\Litenew.exe (file missing) Voila donc une raison pour n epas avoir trouvé C:\DOCUME~1\Mathieu\APPLIC~1\SEEKCL~1\ - certains malwares, particulièrement vicieux -et nail en est un-, modifient les noms et en redémarrant, on ne trouve plus les fichiers recherchés !

Bonsoir nd_max, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Où en es-tu ? Si tu as des difficultés avec cette procédure, demande nous ! Je tiens à ce que ton problème soit résolu... as-tu compris pourquoi ? J'insiste pour que tu suives les conseils de Pollux_63. La méthode utilisée sur Zebulon-Sécurité est basée sur le rapport fourni par une analyse du logiciel HijackThis -qui a fait ses preuves de par le monde-. Les spécificités ajoutées sur Zebulon, consistent, comme t'y invite Pollux_63, à préparer le terrain par une phase de pré-nettoyage en mode sans échec : - mode normal - téléchargement d'Antivir (antivirus gratuit très léger et très efficace) - mode normal - téléchargement de HijackThis (utilitaire très efficace d'analyse du système) - mode sans échec - suppression des fichiers inutiles comme ceux qui se logent dans les répertoires Temp et Temprary Internet Files et qui comprennent souvent des malwares - mode sans échec - scan par Antivir - mode sans échec - scan par HijackThis et sauvegarde du rapport obtenu - mode normal - diffusion du rapport dans cette discussion. ----- fin de la proc. de pré-nettoyage - analyse par un membre qui te dira que faire pour te débarrasser des malwares Si Norton ne peut pas supprimer le fichier, c'est parce qu'il est protégé par un "processus". La solution est d'effectuer la suppression en mode sans échec (dans ce mode, un nombre très limité de programmes est lancé au démarrage de Windows et, en particulier, les fameux processus qui bloquent la suppression !).En fait, nous ne nous sommes pas intéressés au cheval de Troie que tu as cité parce que ce n'est bien souvent, que la partie émergée de l'iceberg... c'est le système en son entier qui doit être nettoyer ! A bientôt ! P.S.: Pour ceux qui n'ont pas bien compris, je connais personnellement nd_max.

Bonsoir Youhou, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Le plus tôt sera le mieux !

Bonsoir hydromel, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Déroule notre procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176 Elle consiste à faire un premier nettoyage des ficjhiers inutiles, d'un scan AntiVir en mode sans échec, d'un scan HJT en mode sans échec ! Lorsque tu auras posté le nouveau rapport, nous l'examinerons... tu as au moins lop et je te conseille de désinstaller Messenger Plus

Bonsoir à tous, Je viens de me rendre compte que FBJ a rédigé une page détaillée sur les lignes O17 -> http://www.fbeej.dk/O17entries.htm D'une manière générale, FBJ est un peu brouillon mais il y a des pages utiles : - Home page - http://www.fbeej.dk/index.htm - Ressources - http://www.fbeej.dk/Ressources.htm et notamment : --- lignes O18 - http://www.fbeej.dk/O18s.htm --- lignes O20 et O21 - http://www.fbeej.dk/NewHJTEntries.htm --- lignes O23 - http://www.fbeej.dk/O23s.htm et donc --- lignes O17 - http://www.fbeej.dk/O17entries.htm par le passé, il avait aussi une O9 - http://www.fbeej.dk/O9lines.htm mais - Files - http://www.fbeej.dk/Files.htm - Links - http://www.fbeej.dk/Links.htm et ses adresses de listes pour vérifier les éléments HJT (Startup Lists, CLSID List, LSP List, etc.)

Bonsoir , megataupe, tesgaz, Je reviens sur les lignes O10, voici les explications : ( http://castlecops.com/lsp-164.html ) Les LSP peuvent être vérifiées dans les bases de données : -> CastleCops - http://computercops.biz/LSPs.html -> Spywaredate.com - http://spywaredata.com/spyware/lsp.php?

lundi 04 juillet 2005 à 13h06 Zut ! Je me suis fait avoir !

Bonsoir kat, bonsoir à tous, Bien bizarre ce que tu dis ! Antivir déclenche-t-il l'alerte lorsque Ad-Aware est en train de scanner ? si Ad-Aware ne scanne pas, AntiVir ne dit rien ???!!!

Bonsoir charles ingals, WatchDog, bonsoir à tous, Merci pour l'info ! Je ne me serais pas fait avoir mais ton message est important et pourra en sauver plus d'un !

Rebonsoir toofan, tesgaz, rebonsoir à tous, tesgaz t'a indiqué comment démarrer en mode sans échec (tapotte F8 au démarrage ; tu appuies une fois par seconde à partir de la barre de progression au démarrage de ton système ; tu dois obtenir un menu de démarrage), voici 2 liens pour une autre méthode : http://service1.symantec.com/SUPPORT/INTER...42?OpenDocument http://service1.symantec.com/SUPPORT/INTER...020325143456924 Je pense que tu as du zapper les explications de tesgaz sur l'affichage de tous les fichiers, les revoici : Depuis l'explorateur de Windows : - Outils / Option des dossiers / onglet Affichage - cocher "Afficher les fichiers et dossiers cachés" - décocher "Masquer les extensions des fichiers dont le type est connu" - décocher "Masquer les fichiers protégés du système d'exploitation" - OK (en fin de traitement, lorsque le système sera bien propre, il faudra revenir et rétablir les choses sauf pour les extensions de fichier)

Bonsoir Chachazz, tesgaz, bonsoir à tous, Mille mercis pour ton message ! Thanks a lot for your message!

Rebonsoir toofan, tesgaz, rebonsoir à tous, Ce dossier Backup est créé lorsqu'on fixe des lignes avec HijackThis.Comme son nom l'indique, HijackThis y stocke les éléments nécessaires pour revenir en arrière sur une modification ! Conserve le quelques jours ! Tu le supprimeras lorsque tu auras constaté qu'il n'y a pas de dysfonctionnement apporté par les fix effectués (en principe, çà ne te servira pas).

Bonsoir Julie88, tesgaz, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Mon post parce que j'estime mon rôle de t'accueillir parmi nous ! Félicitations pour avoir bien employé notre procédure et avoir posté le rapport HijackThis en mode sans échec avec HJT bien installé ! Certes tesgaz te le dira lorsque tout sera nettoyé dans ton système et t'apprendra à te prémunir de tous ces dangers mais ton système n'est vraiment pas à jour et propose un vrai boulevard aux malwares de tous poils !

Bonsoir toofan, tesgaz, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! J'ai fusionné les discussions ! Les lignes marquées "Global Startup:" sont relatives à des éléments dans C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

Un grand, grand merci, tesgaz !