megataupe

Tu as une page qui traite de ce problème ici : http://www.nidinfo.com/html/report_matroska.html

Il faut fixer celui là après un nouveau scan d'Hijacthis : c'est qoi ce ControleActiveX : SysWebTelecomInt Class identicateur : {EFB22865-F3BC-4309-ADFA-C8E078A7F762} provenance : "http://www.sponsoradulto.com/fr/SysWebTelecom.cab" ça modifie IE 6.0 ? C'est le web-dialer d'un site espagnol. " ...Ce que l'on dénomme Webdialer, ce sont des programmes qui se reconnaissent plus ou moins facilement (ce sont souvent des programmes .EXE proposés au téléchargement dans votre navigateur web en passant sur des liens douteux). Ces derniers cherchent à s'installer sur votre PC automatiquement, en profitant de votre inattention. Leur but est d'ajouter une nouvelle connexion réseau à distance par défaut. Cette nouvelle connexion "d'accès réseau à distance" fait que le consommateur ne passe plus par son fournisseur d'accès Internet habituel pour surfer, mais passe par un fournisseur ayant un service téléphonique 0900 et ceci à un tarif prohibitif ! Dans de nombreux cas, le programme Dialer (composeur tél. auto.) démarre en même temps que l'ordinateur, établit la liaison automatiquement et reste en ligne en tâche de fond aussi longtemps que dure votre session Windows. Si une connexion Internet doit être établie, le dialer la fait passer par son n° 0900 coûtant bien plus cher qu'une connexion Internet standard ..." Il vaut mieux t'en débarrasser avant l'éventuelle explosion de tes factures de téléphone.

Ben, c'est moman qu'il va falloir surveiller (contrôle filial à mettre en place). A+++++++++++++

Salut. Ca sent le spyware ce 99% de CPU. Appliques ce que je préconisais dans le post précédent : Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse. http://hijackthis.de/index.php?langselect=french

Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse. http://hijackthis.de/index.php?langselect=french

Re. Le seul approchant que j'ai trouvé et qui soit lié à l'activité d'un pare-feu est cet innofensif blackd.exe : blackd - blackd.exe - Process Information Process File: blackd or blackd.exe Process Name: Intrusion detection process Description: blackd.exe is the Intrusion detection system of the BlackICE computer protection firewall. This process should not be removed to ensure that your system security is not breached. Author: BlackICE Part Of: BlackICE System Process: No Background Process: Yes Uses Network: Yes Hardware Related: No Common Errors: N/A Security Risk (0-5): 0 Virus: No ( Remove ) Spyware: No ( Remove ) Trojan: No ( Remove )

Salut. Tu trouveras toutes les mises à jour à faire pour le SP1 sur ce site si tu as négligé de les faire régulièrement : http://www.autourdupc.com/index.php?sPage=...WINXP/WinXP.htm

C'est sur Greywolf mais, ça peut aussi être un backweb.exe d'un programme de sécurité qui se connecte pour une mise à jour.

A mon avis, ce serait plutôt une abréviation d'un programme du genre bootlog analyser (on abrège souvent par Bla et bla.exe le nom du programme lui-même).

Bonjour. SpywareGuard n'a pas de mise à jour fréquente tout comme SpywareStopper d'ailleurs (bien qu'il soit payant) mais, c'est assez normal car il n'y a pas de nouvelles Active X à bloquer qui sortent tous les jours. Voici les dernières mises à jour : General 1. Microsoft Security Bulletins last update: 09 Nov 2004 Anti-Viruses 1. AntiVir/AVPE - last update: 19 Nov 2004 2. Avast - last update: 19 Nov 2004 3. AVG 6 Free / 6 Pro / 7 - last update: 19 Nov 2004 4. Bit Defender (Web site) / FTP Site (daily.zip) - last update: 20 Nov 2004 5. Dr. Web - last update: 20 Nov 2004 6. eTrust EZ - Newly Detected list last update: 19 Nov 2004 7. F-Prot (Web site) / FTP Site (fp-def.zip) - last update: 19 Nov 2004 8. F-Secure - last update: 19 Nov 2004 9. * KAV - last update: 21 Nov 2004 10. McAfee Weekly - last update: 19 Nov 2004 - Daily files: 20 Nov 2004 11. NAV LU - last update: 19 Nov 2004 - IU / FTP (2004mmdd-0xx-i32.exe): 20 Nov 2004 12. Nod-32 - last update: 19 Nov 2004 13. Norman Virus Control - last update: 19 Nov 2004 14. Panda - last update: 20 Nov 2004 15. RAV - last update: 19 Nov 2004 16. Sophos - Release Dates - last update: 20 Nov 2004 17. TrendMicro (PC-cillin) - last update: 19 Nov 2004 (#2.257) / Beta: 20 Nov 2004 (#2.258) * KAV updates at least 8 times a day. All are not posted here, please check the Web site for the latest update available. Anti-Trojans 1. a² Free / Personal - last update: 19 Nov 2004 2. BOClean - last update: 21 Nov 2004 3. Ewido Security Suite - last update: 20 Nov 2004 4. PestPatrol - Version Info - last update: 10 Nov 2004 5. Tauscan - last update: 10 Nov 2004 6. TDS-3 - last update: 19 Nov 2004 7. The Cleaner - readme-cdb.txt - last update: 20 Nov 2004 8. TrojanHunter - last update: 21 Nov 2004 9. Trojan Remover - last update: 19 Nov 2004 Privacy Related 1. Ad-Aware SE - last update: 14 Nov 2004 2. AGNIS - AGNIS for Outpost - AGNIS for AdShield - last update: 19 Nov 2004 3. Hpguru's Hosts File - last update: 19 Nov 2004 4. IE/SPYAD - last update: 19 Nov 2004 5. MRUBlaster - last update: 28 Mar 2004 6. MVPS HOSTS File - last update: 20 Nov 2004 7. Spy Sweeper - last update: 17 Nov 2004 8. Spybot S&D - last update: 18 Nov 2004 / last Beta update: 18 Nov 2004 9. Spycop - last update: 18 Nov 2004 10. SpywareBlaster - last update: 15 Nov 2004 11. Spyware Block List File - last update: 17 Nov 2004 12. SpywareGuard - last update: 22 Jan 2004

Bonsoir à tous. Voici ce que propose l'ami Pierre pour venir à bout de ce vrai chauchemard de CWS : Eradication automatique Download La première chose à faire, contre une variante de CollWebSearch, est d'exécuter CWShredder. Cet utilitaire gratuit est totalement et exclusivement dédié à l'éradication de toutes les variantes de CoolWebSearch. Aucun antivirus et aucun anti-trojans ne parvient à faire ce que fait CWShredder. Notez que les mises à jour de CWShredder sont très fréquentes : si votre copie de CWShredder a plus d'une semaine, elle est probablement déjà périmée. Scan avec votre antivirus Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémaré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraaux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan. Scan avec votre anti-trojan Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémaré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main. Eradication manuelle Les fiches individuelles de chaque variante vous donnent les noms des clés et fichiers à éradiquer mais il est de loin préférable d'utiliser CWShredder. L'incrustation profonde de certaines variantes est tellement cauchemardesque qu'il est alors utile d'exécuter pas à pas et intégralement notre procédure curative et préventive contre les attaques de Boot (et autres formes d'attaques) : La Manip. Variantes CWS Ordre chronologique de découverte Variantes CWS Ordre alphabétique CWS Variants. 1. CWS.Datanotary 2. CWS.Bootconf 3. CWS.Oslogo 4. CWS.Msspi 5. CWS.Vrape 6. CWS.Oemsyspnp 7. CWS.Svchost32 8. CWS.Dnsrelay 9. CWS.Msinfo 10. CWS.Ctfmon32 11. CWS.Tapicfg 12. CWS.Svcinit 13. CWS.Msoffice 14. CWS.Dreplace 15. CWS.Mupdate 16. CWS.Addclass 17. CWS.Googlems 18. CWS.Xplugin 19. CWS.Alfasearch 20. CWS.Loadbat 21. CWS.Qttasks 22. CWS.Msconfd 23. CWS.Therealsearch 24. CWS.Control 25. CWS.Olehelp 26. CWS.Smartsearch 27. CWS.Yexe 28. CWS.Gonnasearch 29. CWS.Smartfinder 30. CWS.Winproc32 31. CWS.Msconfig 32. CWS.Xxxvideo 33. CWS.Winres 34. CWS.Xmlmimefilter 35. CWS.Aboutblank 36. CWS.Systeminit 37. CWS.Sounddrv 38. CWS.Searchx 39. CWS.Realyellowpage Affiliate variants: 1. CWS.Aff.iedll 2. CWS.Aff.Winshow 3. CWS.Aff.Madfinder 4. CWS.Aff.Tooncomics CWS Variants. CWS.Aboutblank CWS.Addclass CWS.Alfasearch CWS.Bootconf CWS.Control CWS.Ctfmon32 CWS.Datanotary CWS.Dnsrelay CWS.Dreplace CWS.Gonnasearch CWS.Googlems CWS.Loadbat CWS.Msconfd CWS.Msconfig CWS.Msinfo CWS.Msoffice CWS.Msspi CWS.Mupdate CWS.Oemsyspnp CWS.Olehelp CWS.Oslogo CWS.Qttasks CWS.Realyellowpage CWS.Searchx CWS.Smartfinder CWS.Smartsearch CWS.Sounddrv CWS.Svchost32 CWS.Svcinit CWS.Systeminit CWS.Tapicfg CWS.Therealsearch CWS.Vrape CWS.Winproc32 CWS.Winres CWS.Xmlmimefilter CWS.Xplugin CWS.Xxxvideo CWS.Yexe Affiliate variants: CWS.Aff.Madfinder CWS.Aff.Tooncomics CWS.Aff.Winshow CWS.Aff.iedll Ressources Des informations complémentaires peuvent être trouvées sur ces pages http://www.spywareinfo.com/~merijn/cwschronicles.html Travail initial sur CoolWebSearch. PestPatrol ISTbar Virus Information Center Spyware Info CWS article Symantec Security Response Trend MicroSystems Virus Information

Salut. Va voir dans ton registre si tu n'as pas cette entrée : W32/Deadhat-A est un ver qui se propage via le réseau de partage de fichiers Soulseek et par l'intermédiaire des ordinateurs infectés par le ver W32/MyDoom-A. Si le ver détecte qu'il est en cours de débogage, il ne se propage pas mais tente de supprimer les fichiers suivants : C:\boot.ini C:\autoexec.bat C:\config.sys C:\Windows\win.ini C:\Windows\system.ini C:\Windows\wininit.ini C:\Winnt\win.ini C:\Winnt\system.ini C:\Winnt\wininit.ini. Pour s'exécuter automatiquement au démarrage de Windows, le ver se copie dans le fichier sms.exe du dossier système Windows et ajoute dans le registre l'entrée suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk désignant le binaire du ver. Lorsqu'il est exécuté, le ver peut afficher une boîte de message : "Error executing program!" Dans Windows NT/2000/XP/2003, vous devrez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez l'entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk et supprimez-la si elle existe. Fermez l'éditeur du registre.

Bizarre. J'ai vérifié dans Thunderbird (version 0.7.0.0) et il faut indiquer un seul serveur SMTP même pour plusieurs comptes et c'est le port 25 qui est par défaut. Il faut donc entrer une adresse du genre smtp.9telecom.fr et ne pas utiliser une connexion sécurisée. Je viens de trouver ce post sur le forum LnS : Certains utilisateurs de 9online ont du utiliser aussi la règle ClubInternet/NetPratique A essayer donc.

Salut Gwer. A priori cela ressemble à un problème de SMTP avec le serveur de 9 técouillonné. Vérifier dans le journal de LooknStop, onglet connexions si les ports 25 et 110 sont listés lors d'envoi ou réception de mails. Je ne pense pas qu'il y ait une règle spécifique à appliquer pour 9 Télécom dans LnS comme pour AOL ou club-Internet (à vérifier sur le forum LnS toutefois).

Vérifier aussi qu'ils ne sont pas dans le dossier Temp de Windows ou faire une recherche par taille et non par nom de fichier.

Re. D'après cette traduction très approximative le ou les kpfgui.exe sont liés à une activité normale de Kério qui doit (je pense) enregistrer des connexions multiples du serveur mail. Dans le xp allez au compte de poignée de directeur->view->check de tâche. Voici "la réponse officielle" au sujet des 2 kpfgui.exe:Hello, Oui, les deux GUIs (évident dans le directeur de tâche) sont normaux. On est ont couru sous des droites de SYSTÈME, et les droites une de dessous de l'utilisateur noté courant. Si on note deux utilisateurs ou plus en même temps, tout le monde a un GUI (ainsi pour trois utilisateurs, quatre notés GUIs ensemble). Des messages sont envoyés à l'utilisateur actif (tenant le dessus de bureau actif sur WinXP avec la commutation rapide d'utilisateur). Le système GUI est employé pendant le processus de notation. Naturellement le KPF peut employer seulement un SYSTÈME GUI pour tous les messages, mais il y a une vulnérabilité de sécurité. La possession de processus une certaine fenêtre sur le dessus de bureau (évident ou invisible), peut être facilement exploitée pour obtenir des droites de ce processus. Ainsi le processus avec des droites de SYSTÈME (LocalSystem) tenant une certaine fenêtre sur le dessus de bureau actuellement noté (par exemple fenêtre alerte) peut être abusé pour obtenir des droites poweful de SYSTÈME. C'est pourquoi notre service n'a aucune fenêtre (excepté quelques messageboxes critiques) et pourquoi nous employons GUIs (Admins) fonctionnant sous des droites d'utilisateur activement noté (le système GUI sur le fond n'a aucune fenêtre et hérite le jeu seulement pendant le processus de loggin). Chaque service interactif peut être abusé pour obtenir des droites de SYSTÈME que un Microsoft ne recommandent pas de le faire... Pour plus d'information le google pour l'"éclat attaque" ou voit " www.idefense.com/application/poi/displ.. e=vulnerabilities En second lieu, nous laissés hors du raccourci de service de kpf4ss sur le menu kpf4ss de début est service de fenêtres, ainsi ce devrait être début (avec des droites de système) par le dialogue de services de fenêtre. Si vous commencez sur le raccourci que votre ordinateur est insuffisamment gardé - il est a couru sous l'utilisateur actif et il finit noter l'utilisateur au loin. Tomas Soukup réalisateur de fil ................................................. Technologies De Kerio www.kerio.com

Salut Fitz. Tu ferais bien de bloquer cet étrange visiteur car, il utilise un proxy anonyme pour te rendre visite et sans doute essayer de voir ce qui traine sur ton DD pour le cas ou ton parefeu ou toi le laisseraient passer. Voir ici ou il est répertorié : http://zeubu.chez.tiscali.fr/articles.php?lng=fr&pg=251

Bonjour à tous. Mis à part certains cookies traceurs, il n'y a pas de risques à les laisser faire leur travail. Un réglage du navigateur et un petit coup de Spybot chaque semaine assureront une bonne maintenance sécuritaire. Voici d'ailleurs ce que conseille Spybot : Certaines applications antispyware ont décidé de détecter presque tous les cookies tierce-partie qu'ils trouvent en tant que cookies traceurs. Dans de nombreux cas, c'est plus ou moins correct, car nombre d'entre eux contiennent un GUID (Generic Unique Identifier / Identificateur Générique Unique). Mais au lieu de faire gonfler notre base de données de détection avec des milliers de cookies, nous préférons vous conseiller de modifier un peu les réglages de votre navigateur afin de ne pas laisser s'installer tous ces cookies sur votre système: * Internet Explorer: Ouvrez "Options Internet..." depuis le menu "Outils". Choisissez l'onglet "Confidentialité", et positionnez les réglages au moins sur Moyen ou utilisez le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie". Vue d'écran 1 Vue d'écran 2 * Firefox: Ouvrez "Options" depuis le menu "Outils". Cliquez sur l'icône "Vie privée", et ouvrez la catégorie "Cookies". Sous "Autoriser les sites à créer des cookies", cochez l'option "pour le site Web d'origine seulement". Vue d'écran * Mozilla/Netscape: Ouvrez "Preferences..." depuis le menu "Edit". Ouvrez la catégorie "Privacy & Security" et cliquez sur son premier élément "Cookies". Dans le groupe "Cookie Acceptance Policy", choisissez "Allow cookies for the originating web site only". Vue d'écran * Opera: Ouvrez "Préférences" depuis le menu "Outils". Cliquez sur "Privacy" dans la liste sur la gauche, puis ouvrez la liste déroulante sur les "Third party cookies" à droite et choisissez "Refuse all cookies". Vue d'écran

C'est vrai pour svchost.exe Padnom mais, Lucovitch parle d'un svshost.exe qui lui est un trojan parfaitement identifié.

Bonjour. Il s'agit d'un ver à éliminer avec Spybot ou Ad-aware. Désactiver la restauration système et faire les scans (logiciels mis à jour) en mode sans échec (touche F8 au démarrage). Voir aussi ici, un site qui en parle et fournit un outil pour le nettoyer : http://www.spynet.com/spyware/spyware-Forbot.aspx

Salut. Si les habitués des cafards ne suffisent pas à l'éliminer, tu peux essayer un autre chasseur de spywares (gratuit 15 jours) qui assure pouvoir le nettoyer : http://www.giantcompany.com/(wavzfqq0d5bmq...ID=70&skip=true

Bonjour Tu trouveras surement ton bonheur sur ce site pour les éléments que tu cites : http://list.driverguide.com/list/company236/index.html

Salut à tous. Est-ce que l'insultron vous irez ???????????? http://perso.club-internet.fr/vadeker/arti.../insultron.html

Salut. En principe, tu peux utiliser la commande suivante : Voici une petite astuce utile lorsque l'on désire ajouter ou remplacer une Dll corrompue. Pour appliquer cette astuce, il vous faut aller sur DLL World pour choisir votre Dll. Ensuite il vous faut redémarrer en appuyant sur la touche F8 de votre clavier pour vous permettre d'accéder au menu de démarrage pour selectionner le Mode Sans Echec. Une fois cette étape effectuée, cliquez sur Démarrer >Exécuter et tapez "sfc" puis validez avec Ok. Ensuite cliquez sur le deuxième choix qui se présente (choix du fichier à restaurer). Sélectionnez votre Dll que vous avez préalablement récupérer sur le site mentionné plus haut, et cliquez sur Démarrer. A "restaurer à partir de " il vous faut resélectionner votre Dll dans le champ "Enregistrer le fichier dans", taper le chemin qui amène au Système de XP : Ex ] C:\Windows\System , puis validez sur OK. Ensuite il ne vous reste plus qu'a redémarrer normalement. Si tu ne trouves pas ta dll sur le site cité, tu peux la récupérer ici : http://www.treiber-archiv.de/index.html (aller dans Systèmefile-Center et cliquer sur dll-files)

Bonsoir. Tu peux coller ton log ici : http://hijackthis.de/index.php?langselect=french mais, j'ai vérifié, il n'y a pas de vrais cochonneries sur ton portable. Je pense que c'est Norton qui te mange beaucoup de RAM au démarrage.