ipl_001

Bonjour tesgaz, Merci pour ce précieux document !

Bonsoir kat, bonsoir à tous, En effet, il n'y a aucun malware dans les éléments cités ! Tout au plus, ton Acrobat Reader qui se fait un peu vieux ! Si ton antivirus continue à protester, nous pouvons continuer et rechercher certains fichiers signalés comme accompagnant Swizzor.

Rebonsoir tirol, rebonsoir à tous, Tu as bien nettoyé ! Je ne vois plus rien d'infectieux (ou alors, je dors !) L'analyse étant faite à partir du tout premier log, un nettoyage préalable de lop puis la désinstallation de certains éléments, font que des lignes HJT n'y sont plus : il n'y a là rien que de plus normal !!! Bonne route tirol !

Ceci dit, si tu veux parler gentiment de "protection infantile et contrôle parental", nous le pouvons mais dans une autre discussion ! Je ferme cette discussion ! Diana, désolé ! Je m'en vais faire mon rapport sur le forum des modérateurs pour y relater ce qui s'est passé ici !!! En attendant, lis la charte !!! 2 points de pénalité en 1 jour !

Bon ! tesgaz m'a devancé mais j'ajoute quand même : lididi, tu exagères ! - tes 2 messages d'hier (que j'ai fermés) étaient bien ambigus et maladroits ! - tes explications d'aujourd'hui, sont plus claires ! - aujourd'hui, tu emploies des mots insultants ! -> à ton "reflechissez un peu avant de juger les gens!!!", je te réponds : explique toi mieux ! -> "vous le pauvres mecs , vous passez beaucoup de temps sur les sites de cul" -> "TA reponse que je trouve la plus débile" -> "des 'malades mentaux' comme toi" Mots insultants, attaque personnelle = 1 point de pénalité ! ---édition : tiens, tu as déjà un point de pénalité ??? alors çà fera 2 !

Bonsoir à tous, Finalement, cette discussion n'a pas trop dérapé, il y a même des posts très instructifs ! Je vous en remercie ! Une chose importante sur laquelle tesgaz n'a pas assez insisté (il me semble) : Non seulement, tesgaz préconise le scan en mode sans échec (pas de blocage par les malwares en mémoire), mais il demande un AntiVir fraîchement installé (c'est à dire pas altéré par une infection). Outre ces 2 caractéristiques de "Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis"... AntiVir est léger et efficace en mode sans échec et également mis à jour fréquemment Au préalable, on élimine les choses inutiles pour éviter de scanner ces tonnes de fichiers qui traînent dans Temp, TIF et autres !

Bonsoir à tous, On discute... on discute... et personne ne répond à Nico76300 ! Oui, Trend micro a adapté son scan en utilisant lorsque nécessaire (FireFox par exemple) la technologie Java à la place d'ActiveX : -> http://fr.trendmicro-europe.com/consumer/h...call_launch.php (ActiveX ou Java) ou -> http://fr.trendmicro-europe.com/consumer/p...call_launch.php (Java)

Zut ! grillé par charles ingals et tesgaz ! Oui, tu vires tout çà ! EasyCleaner -inutile(s) est une fonction sans problème : ce qu'il propose d'enlever, ce sont des clés orphelines, c'est à dire des éléments de la base de registres pour lesquels il est fait référence à un fichier du disque qui n'est plus là !

Rebonsoir tirol, rebonsoir à tous, ---édition : 18 minutes pour l'analyse ! Bien vu ! Tu as enlevé Lop ! Mon analyse a été faite sur le premier log Je suppose que tu fais référence à la dernière version de SSD que j'évoquais... j'ai entendu dire que SSD éliminait lop mais finalement, j'ai l'imression qu'il y a gourrance ! Pas grave ! Nettoie bien le système de la petite nièce... -1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) -3- Redémarre l'ordinateur en mode sans échec. -4- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : --- Messenger Plus (tu réintalleras lorsque tout sera propre et... sans les sponsors) --- ce qui y parle de "cash" --- instant access Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -5- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fhorgfergozmdhaqkwe.com/QfWdZwY...5mUw3RMnR_.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rrkqjpyyplv.com/QfWdZwYwxu9S6RK...DohfyccJWvE.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local> O2 - BHO: (no name) - {5EEAF7A7-D60F-2F65-B074-4A54BCDA0EB0} - C:\DOCUME~1\virg\APPLIC~1\Twoenc\batadmin.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [rdrdrvwavefast] C:\Documents and Settings\All Users\Application Data\CashAboutRdrDrv\store cash.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [balm bat itch the] C:\Documents and Settings\All Users\Application Data\Eq vc balm bat\downloadinternet.exe O4 - HKCU\..\Run: [MultiBrowse] C:\DOCUME~1\virg\APPLIC~1\ThisBird\managerbaitburn.exe O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1041.dll,InstantAccess O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/s...net32_FR_XP.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O20 - AppInit_DLLs: MsgPlusLoader.dll -6- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -7- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\DOCUMEnts and Settings\virg\APPLICation Data\Twoenc (supprime le dossier) --- C:\Documents and Settings\All Users\Application Data\CashAboutRdrDrv (supprime le dossier) --- C:\Program Files\MessengerPlus! 3 (supprime le dossier) --- C:\Documents and Settings\All Users\Application Data\Eq vc balm bat (supprime le dossier) --- C:\DOCUMEnts and Settings\virg\APPLICation Data\ThisBird (supprime le dossier) --- p2esocks_1041.dll (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -8- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. -9- Qu'en est-il des dysfonctionnements ? Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Bonsoir tirol, Pourtant, ce n'est pas pour la frime ! LOL c'est une vraie étape ! Commence par traiter le cas lop ! Des bruits courraient que les nouvelles maj de SpyBot étaient capables d'enlever Lop mais, si ton SSD était à jour, voici le troisième contre-exemple ! Lop peut détourner la page de démarrage et/ou installer une barre d'outils. Attention, il se peut que ton antivirus se mette à hurler lors de cette opération car il croira y reconnaître le malware ! Lopremover sur http://www.thespykiller.co.uk/files/lopremover.exe ou Désinfection sur http://www.lop.com/new_uninstall.exe (page de démarrage) ou http://lop.com/toolbar_uninstall.exe (toolbar) ou http://66.220.17.157/new_uninstall.exe (page de démarrage) ou http://66.220.17.157/toolbar_uninstall.exe (toolbar) Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Oui, tu peux enlever tout çà car c'est inutile !... et de plus, je trouve que tesgaz s'est retenu ! ---édition : zut ! devancé par tesgaz !

Bonsoir sebastienserre, tesgaz, bonsoir à tous, Il te faut également, avant tout, effectuer un bon nettoyage de ton système... - fermeture de tous les programmes - suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp - suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm Tout à la fin, après instructions de tesgaz... - nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm - analyse du disque et Défragmentation

Bonsoir ness01, bonsoir à tous, Ce message "ce n'est pas une application win 32 valide." n'est-il pas affiché lors de l'exécution ? phase 1 = téléchargement !Pour l'exécution, ce sera plus tard, en mode sans échec !

Bonsoir metr0id, bonsoir à tous, Qu'en penser ?Cà sent le troll tout çà ! Je ne dirai rien d'autre que, si tes mesures de protection se limitent à ce que tu as exposé, je ne donne pas cher de ton système !!! metr0id, je n'apprécie pas du tout ce message... mais pas du tout !!! Si tu es capable de donner des conseils de sécurité, attache toi à nettoyer un joli rapport HijackThis pour nous montrer, les grandes phrases, tu les feras après ! Attention ! Cette discussion risque la fermeture à la première réponse que je jugerai être un dérapage ! En tous cas, mon conseil : ignorer cette discussion et ses conseils bidons !

Bonsoir mystika05, Stonangel, bonsoir à tous, Je suis désolé de ne pas pouvoir venir en journée... mes journées sont très occupées ! Un grand merci à Stonagel, d'avoir répondu !

Bonsoir gianna, Diana, bonsoir à tous, Vous parlez à peu près de la même chose !La BdR est la base de registres qui est une des parties principales de Windows ! Une restauration système correspond à la restauration de la base de registres + quelques fichiers système ! Mais lorsque Diana parle de "restaurer une ancienne BDR", elle veut dire restaurer un point de contrôle (restauration système)

Des boîtes de dialogue Windows... tu appelles çà de spopups, toi ?

Bonsoir Christian69, Stonangel, bonsoir à tous, As-tu ce fichier C:\WINDOWS\system32\sp2protect.exe sur ton disque dur ? Si oui, supprime le ! Un rapport HijackThis indique les fichiers activés, néfastes ou pas ! Il peut y avoir par ailleurs, des ficheirs isolés sur le disque dur, correspondant à des malwares mal enlevés !

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

Sujet fermé. Merci de bien vouloir consulter la charte du forum.

Rebonsoir à tous, Nous allons donc faire les choses manuellement : Démarrer / Exécuter / tape RegEdit et clique sur OK Amène le curseur en haut à gauche sur "Poste de travail" (je te conseille de replier toutes les branches de manière à n'avoir que les 5 branches HKCR, HKCU, HKLM, HKU et HKCC Déroule l'arborescence jusqu'à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar et liste moi tous les CLSID qu'on y trouve. (en pratique, on copie les CLSID dans un fichier texte) Les CLSID sont ces chaines de caractères entre accolades par exemple {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Fais de même pour HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ------------------------------------------------------------------------------------------ Une fois ces CLSID trouvées, on va chercher ce qu'elles contiennent en allant, pour chacune d'elles, regarder dans : HKEY_CLASSES_ROOT\CLSID\(CLSID) en mirant "(par défaut)" et "InprocServer32" (en fait, on copie le CLSID, on remonte au niveau de "Poste de travail" et on lance une recherche (Ctrl-F) du CLSID sur les clés seulement) par exemple HKEY_CLASSES_ROOT\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} correspond à "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" c'est à dire que ce n'est pas un malware ! ----- S'il s'agit d'un malware, on supprime la clé aux niveaux Toolbar, BHO et HKCR\CLSID\(CLSID) On n'oublie pas de : - installer un pare-feu - mettre à jour le système - installer ZebProtect

Bonsoir kat, maille, bonsoir à tous, Vraiment bizarre !"hex:" signifie que ce qui suit est exprimé en hexadécimal et justement il n'y a rien qui suit ! J'en déduis qu'il y a, dans les caractères à lister, quelque chose qui correspond à une fin de fichier et qui perturbe !

Bonsoir doundar, bonsoir à tous, Est-il impressionnant au point de reformater ? -> http://securityresponse.symantec.com/avcen....bifrose.c.html -> http://www3.ca.com/securityadvisor/pest/pe...px?id=453094206 -> http://www.sophos.fr/virusinfo/analyses/trojbckdrcka.html ----- J'en profite pour répéter : - les malwares se diffusent très vite - lorsqu'on installe un nouvel ordinateur, il faut savoir qu'il suffit de quelques minutes connecté sans protection pour être infecté - en revenant de vacances, certains allument un ordinateur sans protection à jour... en retard de 3-4-6-8 semaines !!! un peu dans la situation d'un ordinateur sans protection ! Pensez-y ! ne sortez pas tout nu !

Stonangel, tu vas avoir des doubles dans ta collection ! Tu vas pouvoir les échanger !

Bonsoir lididi, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Je garde néanmoins l'oeil ouvert ! Notre forum est destiné à aide les internautes à se défendre contre les menaces ! Je trouve ta question un peu ambigue... j'espère que ton but est "dans le bon sens" : défendre ou protéger, pas l'inverse !