megataupe

Bonjour Kynis et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir désinstaller ce fléau vecteur de cochonneries en tout genre : C:\Program Files\eMule\eMule.exe et ensuite, de mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Perso, je ne vois plus rien d'infectieux dans ce dernier log (attendons confirmation d'IPL toutefois). As-tu toujours des problèmes, et lesquels ?

Re. De retour, je transmet cette info pour Tesgaz et IPL : Information On IPP4Detect.exe This is one of the Presto! Mr. Photo 3 files. This software came with the DXG digital camera, and seems to run peacefully, waiting for the camera to be plugged in so it can hold your hand. From the introduction: Presto! Mr. Photo 3 was especially designed to communicate with digital camera utilities or digital camera software via TWAIN, so that images can be downloaded from a digital camera automatically. Appears to be harmless.

Pas de probléme pour moi, d'autant que je dois m'absenter bientôt (merci IPL de prendre le relais ). Ceci dit, Mayana a t-elle réactivé la restauration systéme (edit : sans objet) ?

Bonjour IPL. Je pense en effet qu'il faut tout remettre à plat pour repartir calmement. Juste une question à Mayana : as-tu désactivé puis réactivé la restauration systéme ?

De quoi parles-tu ? De Zeb Protect ? Pour celui-ci, il suffit d'appliquer que ce qui concerne ta version d'XP puisque tu n'as pas accés aux autres réglages.

Comme ceci : Pour activer la restauration du système de Windows XP: * Cliquez sur Démarrer. * Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés. * Cliquez sur l'onglet «Restauration du système». * Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs». * Cliquez sur Appliquer puis sur OK.

J'ai oublié de t'indiquer le tutorial qui est sur Zeb : http://www.zebulon.fr/articles/zebprotect.php Voilà

Et bien, c'est simple, tu doubles cliques sur notepad pour l'ouvrir et tu suis les instructions d'IPL qui sont pourtant très claires.

Bon. Tu as plein de saletés qui sont restées dans la restauration systéme. Tu vas donc désactiver celle-ci :voir le tuto ici : http://www.libellules.ch/desactiver_restauration.php redémarrer ton PC puis, réactiver la restauration systéme et refaire un scan chez Bit Defender pour vérifier.

Pour empécher n'importe qui de faire n'importe quoi sur ton PC. Une visite sur le site de Tesgaz te fera mieux comprendre : http://speedweb1.free.fr/frames2.php?page=securite

Bonjour Mayana. Dans l'immédiat, fais un scan en ligne ici et envoie le rapport : http://www.bitdefender.com/scan8/ie.html Pour le reste, verrouille ton PC et commence par changer de navigateur (voir ici) : http://forum.zebulon.fr/index.php?showtopic=69628 et installe Zeb Protect : http://telechargement.zebulon.fr/123-zeb-protect.html edit : J'ajoute en prime un conseil de Tesgaz : installer un fichier hosts qui bloque les sites crapuleux, ensuite, ca devrait aller mieux http://hosts.file.free.fr/index.php

Bonsoir Zewolf. Pour Tesgaz, je crois que c'est Linux et pour moi, la galette d'XP . Je ne sais pas si d'ailleurs il existe un soft pour ce gadget.

OK IPL. Je pense aussi que tu as vu cette page très compléte sur le bestiau ? http://www3.ca.com/securityadvisor/pest/pe...px?id=453080714

Bonne nouvelle si tout va bien. Ton log ne comporte plus d'éléments infectieux mais, aurait besoin d'une petite cure d'amaigrissement à la Tesgaz (je sens qu'il va se régaler ) si tu es candidat car, tu as beaucoup trop de services lancés au démarrage. Voilà, voilou

Bon, même si j'aime pas la resto façon mac Bill, je vais essayer de te donner quelques pistes : Points de restauration automatiques non créés Plusieurs raisons peuvent expliquer l'absence de création automatique, toutes les 24 heures environ ou après redémarrage de l'ordinateur en cas d'arrêt (si le dernier point a été créé il y a plus de 24 heures), alors que les points sont correctement créés lors de changements dans le système (installation/désinstallation de programmes ou des mises à jour respectivement de pilotes): 1. La désactivation du planificateur de tâches. La création automatique des points de restauration ne peut se faire que si le planificateur de tâches est actif. Certains logiciels tels que XP-AntiSpy par exemple ont une fonction de désactivation du planificateur de tâches activée par défaut ou par l'utilisateur. Il faut donc vérifier * Dans la console des Services, que l'élément Planificateur de tâches est démarré et que le type de démarrage est sur Automatique. * Dans le module Tâches planifiées du panneau de configuration que les options Suspendre le planificateur de tâches ou Cesser d'utiliser le planificateur de tâches ne sont pas cochées. La disparition des points de restauration, l'absence de calendrier des points ou l'impossibilité d'accéder à l'utilitaire de restauration peuvent avoir plusieurs causes, et donc plusieurs solutions, à savoir: 1. Un lecteur/partition, surveillée ou non par la restauration du système, dispose d'un espace libre inférieur à 200 mo. La solution consiste à faire de la place sur la partition concernée. 2. Un contrôleur de disque Highpoint: peut engendrer ce problème. Télécharger une mise à jour récente ou supprimer le fichier hptpro.sys 3. Si l'association de fichiers *.htc a disparu du Registre, il faut la recréer. Télécharger le fichier association_htc.reg ou appliquer la procédure décrite dans la fiche technique Microsoft N°313853 Source : http://www.d2i.ch/pn/index.html

Bon, comment va ton PC ? Tu n'indiques pas si Spybot a trouvé des malwaresn as-tu fais le scan ? A suivre pour un PC enfin propre

Re les fouineurs du swizzor . Je viens de voir que Trojan Hunter embarquait bien ces furieux de swizzor dans sa base. Ca vaudrait peut être le coup de lancer un scan en mode sans échec avec la version free 30 jours de Trojan Hunter (une référence dans l'éradication des trojans, puisqu'il ne fait que cela et ma foi très bien). Quand penses tu IPL ? http://www.misec.net/trojanhunter/

Re IPL. Si ça peut t'aider, une petite liste de fichiers concernant ce coriace (source : PestPatrol) 44b56ef.exe af16480a.exe loyftzhg.exe profilepath+\local settings\temp\6bd5111a.exe profilepath+\local settings\temp\aade6.exe programfilesdir+\objcdrom\mdhhwkfg.exe

Bonjour IPL, bonjour à tous . Quelle armada de softs plus ou moins sécuritaires. Win Patrol + Spy Sweeper + SpywareGuard + Ewido ++++++++++++ ça va finir par faire boum chez le Groubar . Bon courage les petits

Bonjour Pec et bienvenue sur Zébulon Sécurité. Je vois que tu fais tourner le teatimer de Spybot et Prevx ensemble, ce qui est plus que déconseillé, il faut en éliminer un (teatimer est plus simple a arrêter). Ensuite, tu vas paramétrer les services comme indiqué ici chez l'ami Tesgaz : http://speedweb1.free.fr/frames2.php?page=service4 puis, télécharger et utiliser ZebProtect pour fermer le port 135 (et d'autres ports trop bavards) : http://telechargement.zebulon.fr/123-zeb-protect.html et revenir ensuite nous dire ce qu'il en est de ce SVCHOST qui n'a rien à faire sur le net.

Bonjour à tous. Il arrive qu'Ad-aware bloque sur une clé de la BDR ou un fichier et dans ce cas, il vaut mieux refaire le scan en mode sans échec : -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

De quels fichiers parles-tu ? Scanne avec Sybot et Ad-aware en Mode sans échec pour éliminer les scories et dis ce qu'il en est.

Bonjour Mildoul. Des restes de Kazaa et P2P hélas . Tu vas télécharger RegSeker : http://telechargement.zebulon.fr/184-regseeker-145.html et lancer un nettoyage du registre, tu supprimes tout ce qu'il va trouver puis, tu refais un scan avec Pest patrol ou Panda.

Dernière info sur ces DSO exploit (eurs) incongrus : http://assiste.forum.free.fr/viewtopic.php...ght=dso+exploit