megataupe

Bonjour newbie78. A priori, je ne vois rien d'infectieux dans ton rapport HijackThis qui pourait avoir un rapport avec le problème que tu évoques. Peut être qu'un membre de Zebulon ayant eu ce problème aura une idée à soumettre ?

Pas grave si ça roule, mais j'aime bien les install à l'ancienne .

C'est bien beau tout ça mais quand Windows vous dit qu'il ne peut pas restaurer à une date antérieure, vous faites quoi

Installée et tourne sans problème cette french 1.0.6 (désinstallez l'ancienne version d'abord). http://frenchmozilla.sourceforge.net/thunderbird/

Tu aurais pourtant pu lire cette réponse (pas vu ton post d'adieu par contre ) : Posté le 01/05/2005 à 19:55:26 bonsoir à tous en version free, il perd son mode-résident & son scan de mémoire vive par contre il conserve l'analyse à la demande par click-droit & la capacité de mettre en quarantaine les véroles qu'il trouve de plus il bénéficie de MAJ pluri-quotidiennes

Bonsoir IPL, bonsoir à tous . Il me semble que tu avais déjà posé la même question sur PCA et qu'il y avait une réponse concernant ce qu'il restait d'utilisable après le seuil fatidique des 14 jours : http://forum.pcastuces.com/sujet.asp?SUJET_ID=173016

Bonjour wkz. Commence par désinstaller ce pourvoyeur de spywares : C:\WINDOWS\System32\P2P Networking\P2P Networking.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART puis mets en oeuvre la procédure suivante : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Salut Julkien . En attendant une explication du staff Zebulon, j'ai fait taire ce rasautou en passant en manuel les services suivants : Gestionnaire de connexion d'accès distant Gestionnaire de connexion automatique d'accès distant

Oui............ J'ai vérifié et j'ai bien la bonne date du dernier accés (ce soir donc). Par sécurité, j'ai désactivé le Gestionnaire de connection automatique d'accés distant dans les services (il me semble marié avec ce rasautou.exe). Sans doute pas méchant ce rasautou mais, j'aimerai bien qu'on m'explique pourquoi il veut se lancer. Voici ce qu'en dit Tesgaz : Gestionnaire de connexion automatique d'accès distant Nom de l'exécutable : svchost.exe Nom interne : RasAuto Description : Crée une connexion vers un réseau distant à chaque fois qu'un programme référence un nom ou une adresse DNS ou NetBIOS distant. Il dépend de : Gestionnaire de connexion d'accès distant - Téléphonie - RPC - Plug and Play Dépendent de lui : aucun Commentaire : Si vous utilisez une connexion Internet par modem vous pouvez laisser ce service en mode "automatique"; Si vous utilisez un routeur, vous pouvez le laisser en mode "manuel".

Bonsoir Pollux, bonsoir à tous. Ce que je trouve curieux, c'est que lorsque l'on accepte les conditions de Zebulon et que l'on autorise le site a effectuer un téléchargement, j'ai ce genre d'alerte envoyée par ProcessGuard : Wed 20 - 20:30:21 [EXECUTION] "g:\windows\system32\rasautou.exe" was blocked from running [EXECUTION] Started by "g:\windows\system32\svchost.exe" [768] [EXECUTION] Commandline - [ rasautou -r -f "g:\documents and settings\all users\application data\microsoft\network\connections\pbk\rasphone.pbk" -e "wanadoo" ] Donc, avis aux modérateurs, quel est donc ce rasautou.exe utilisé par Zebulon ?

Bonsoir nOam. je pense que BipBip veut te faire utiliser la manipulation suivante : Si le système exempt de virus ou de spyware rencontre de nombreuses erreurs dont la source ne peut être déterminée avec précision, il se peut que des fichiers système soient corrompus ou absents. Pour le savoir et les remplacer, procéder comme suit: * Insérer le CD-ROM de Windows XP dans le lecteur tout en maintenant la touche Maj appuyée afin d'éviter son exécution automatique * Par Démarrer/Exécuter... (ou Windows+r), saisir la commande sfc /scannow (faire un espace entre sfc et le /). Attention: Si utiliser un point de restauration pourrait être une solution au problème rencontré, commencer par procéder à la restauration du système. En effet, sfc /scannow, en remplaçant des fichiers système protégés, rendra les points de restauration inutilisables.

Bonjour à tous. Ce sujet a déjà fait l'objet de nombreux posts sur Zébulon et PCA et, après des tests poussés, nous en avons conclu qu'Ewido était un soft propre. Ceci dit, il n'est pas étonnant, vu le nombre de signatures qu'il embarque, qu'il vous trouve des cookies traceurs, vieilles MRU, BHO et autres "broutilles", ce qui ne signifie nullement que votre PC est vérolé de partout. En principe, les "nettoyeurs" n'utilisent Ewido que pour les cas difficiles et après les chasseurs de malwares classiques : Ad-aware et Spybot notamment. Full database This installer always includes the complete database of the ewido security suite. Contained signatures: 171,369 Size: 3456 KB MD5-Checksum: 39d9b0abf7b0cd77592d304d32259b68

Bonjour Fox4. Process Explorer devrait convenir à tes envies d'inquisition : http://www.sysinternals.com/Utilities/ProcessExplorer.html

Bonjour à tous . Au delà des éternelles polémiques sur la qualité des navigateurs qui, de toutes façons, auront toujours des failles, la grande différence entre les produits Mozilla et Internet Explorer réside en fait sur 2 points : 1-réactivité beaucoup plus grande de la communauté Mozilla dès la découverte d'une ou plusieurs failles. 2-exceptionnel dynamisme des membres de la communauté open source qui nous gratifient d'extensions parfois exceptionnelles comme Adblock ou NoScript permettant d'être parfaitement protégé même en présence de failles potentielles non encore détectées. Le reste, n'est que réaction épidermique ou plus surement un manque certain d'objectivité conduisant à des conduites à risques mais, il en est ainsi dans de nombreux domaines comme l'automobile par exemple (j'aime pas Peugeot, pourquoi ? Ben, en fait, j'en sais rien, c'est inscrit dans mon inconscient).

Selon une enquête de la firme de sécurité informatique SurfControl, le nombre de courriels qui se présentent comme des cartes virtuelles afin d'infecter les destinataires a presque doublé par rapport à l'an dernier. SurfControl note également que plus de la moitié de l'augmentation de la quantité de courriels malveillants - 30% au cours des trois derniers mois - est due à la prolifération des messages qui se présentent comme des cartes virtuelles. Ces messages apparemment anodins, expédiés par millions chaque mois, contiennent un lien qui charge la carte proprement dite dans une page Web. Cependant, explique SurfControl, ces sites peuvent parfois contenir un script qui analyse les paramètres du système connecté (système d'exploitation, fureteur, antivirus, etc.), pour ensuite tenter de le contaminer subrepticement avec un logiciel malveillant conçu pour dérober des renseignements personnels ou transformer l'ordinateur en relais pour l'expédition de pourriels. Ces attaques ne sont évidemment pas désintéressées, comme l'explique Susan Larson de SurfControl: «La hausse des attaques par cartes malveillantes est stimulée par un marché noir de plusieurs millions de dollars pour les informations volées». Et ce type d'activité semble en pleine expansion; SurfControl prévoit en effet que le nombre de ces fausses cartes pourrait encore doubler au cours du prochain trimestre. Source : http://www.branchez-vous.com/actu/05-07/09-255305.html

Bonsoir IPL . En effet, une petite rectification s'impose, ce que je vais faire de ce pas.

Bonjour Manine. Pourrais-tu nous indiquer ce qui est actif au démarrage du PC ? Tu fais démarrer/exécuter/tu tapes msconfig/ok puis, ouvrir l'onglet démarrage et noter ce qui se charge au boot du PC. Aller ensuite sur le site de Tesgaz : http://speedweb1.free.fr/frames2.php?page=service4 et paramétrer les services comme recommandé.

Ci-dessous, le log de Stefanopoulos récupéré de : http://forum.zebulon.fr/index.php?showtopic=69176&st=120 Logfile of HijackThis v1.99.1 Scan saved at 23:38:33, on 18/07/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Documents and Settings\Fanou\Bureau\soft\Hack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.downloadaccelerator.com/FinishI...l.asp?V=7.3.0.0 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 213.219.251.78 www.google.com O1 - Hosts: 213.219.251.78 google.com O1 - Hosts: 213.219.251.78 www.google.co.uk O1 - Hosts: 213.219.251.78 google.co.uk O1 - Hosts: 213.219.251.78 www.google.ca O1 - Hosts: 213.219.251.78 google.ca O1 - Hosts: 213.219.251.78 www.google.es O1 - Hosts: 213.219.251.78 google.es O1 - Hosts: 213.219.251.78 www.google.de O1 - Hosts: 213.219.251.78 google.de O1 - Hosts: 213.219.251.78 www.google.fr O1 - Hosts: 213.219.251.78 google.fr O1 - Hosts: 213.219.251.78 www.google.com.au O1 - Hosts: 213.219.251.78 google.com.au O1 - Hosts: 213.219.251.79 www.yahoo.com O1 - Hosts: 213.219.251.79 yahoo.com O1 - Hosts: 66.218.75.184 mail.yahoo.com O1 - Hosts: 213.219.251.80 www.msn.com O1 - Hosts: 213.219.251.80 msn.com O1 - Hosts: 213.219.251.80 search.msn.com O1 - Hosts: 213.219.251.80 www.search.msn.com O1 - Hosts: 213.219.251.80 go.com O1 - Hosts: 213.219.251.80 www.go.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121097013425 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Bonjour relleba. Sur Kerio 2.1.5 il fallait utiliser les règles suivantes : Règles pour le DHCP si utilisé : A ajouter au-dessus de la règle 15 = = = = = = = = = = = = : Description: DHCP In/Out Protocol: UDP Direction: Both Local End Port:68 Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE) Remote End Port: 67 Remote Address: DHCP Server IP (ou any) Rule Valid: Always Action: Permit Logging: None Rule #2: Description: DHCP Protocol: UDP Direction: Outgoing Local End Port:68 Application: ANY (ou ton Application DHCP : x:\WINDOWS\SYSTEM32\SVCHOST.EXE) Remote End Port: 67 Remote Address: 255.255.255.255 Rule Valid: Always Action: Permit Logging: None B. Déterminer ses serveurs DNS et DHCP: Sous win95/98/Me : Démarrer\Exécuter : winipcfg détails Sous Win2K/XP Dans une fenêtre DOS (invite de commande) : ipconfig/all J'espère que tu pourras les adapter à la version 4 de kerio ? edit : un autre lien intéressant ici : http://blueduck.free.fr/informatique/kerio...es_applications

Pareil pour celle là IPL (ligne 017 du dernier log) : Your IP (130.244.127.161) appears as an attacker 111 times in the DShield database.

Normal BipBip, c'est juste parceque tele2 attribue à ses abonnés des IP repérées par DShield comme ayant été utilisées par des PC zombies ou adeptes de qui tu sais.

Ben, l'IP de notre ami flax est très souvent citée dans celles des PC crackés : 2005-06-28 212.151.136.254 53990 53 2005-06-30 212.151.136.254 53990 53 2005-07-01 212.151.136.254 53990 53 17 2005-07-01 212.151.136.254 53990 53 17 2005-07-01 212.151.136.254 32772 53 17 2005-07-02 212.151.136.254 53990 53 17 2005-07-02 212.151.136.254 53990 53 17 2005-07-03 212.151.136.254 53990 53 17 2005-07-03 212.151.136.254 53990 53 17 2005-07-04 212.151.136.254 32768 53 17 2005-07-06 212.151.136.254 32768 53 17 2005-07-06 212.151.136.254 32768 53 17 2005-07-07 212.151.136.254 32768 53 17 2005-07-10 212.151.136.254 32768 53 17 2005-07-10 212.151.136.254 32768 53 17 2005-07-15 212.151.136.254 32768 53 17 2005-07-16 212.151.136.254 32768 53 17 2005-07-16 212.151.136.254 32768 53 17 2005-07-17 212.151.136.254 32768 53 17 2005-07-18 212.151.136.254 32768

Bonsoir Noisette. Si tu veux effectuer des sauvegardes avec XP home, il faut utiliser la manip suivante : Ajouter manuellement l'utilitaire de sauvegarde à Windows XP Édition familiale Si vous utilisez Windows XP Édition familiale, vous devez ajouter manuellement l'utilitaire de sauvegarde. Pour ajouter manuellement l'utilitaire de sauvegarde à Windows XP Édition familiale : 1. Insérez votre CD Windows XP dans le lecteur, et, si nécessaire, double-cliquez sur l'icône du CD dans Poste de travail. 2. Dans l'écran Bienvenue dans Microsoft Windows XP, click Effectuer des tâches supplémentaires. 3. Cliquez sur Parcourir ce CD. 4. Dans l'Explorateur Windows, double-cliquez sur le dossier ValueAdd, puis Msft et enfin Ntbackup. 5. Double-cliquez sur Ntbackup.msi pour installer l'utilitaire de sauvegarde. Conseil : si vous avez acheté un ordinateur équipé avec Windows XP Édition familiale, l'utilitaire de sauvegarde se trouve sur le disque fourni avec votre ordinateur. Si vous ne trouvez pas l'utilitaire sur le disque, contactez le fabricant de votre ordinateur ou rendez-vous sur son site Web pour obtenir plus d'informations. Windows n'est hélas pas aussi convivial que le Mac, sur lequel il suffit d'insérer le CD system dans le lecteur de CD pour restaurer entièrement le système sans perte de données et sans formatage évidemment (pratiquement inconnu sur Mac le format).

Exotique dis-tu ! C'est pire qu'une république bananière ce PC accroc du baudet (va comprendre Charles ) C:\Program Files\eMule\emule.exe

Bonsoir BipBip, Stonangel, IPL, bonsoir à tous . Moi, j'aimerai bien que flax_34 nous explique comment on fait pour se choper cette "vedette" des logs HJT (du moins, pour le moment) :