Thanos

salut kpuche Tu sais quoi? je ne vois rien d'infectieux sur le log !mais je fatigue peut être vu l'heure! Tu peux essayer ca? => Antivir a t'il trouvé quelque chose??Est ce que tu peux accéder à internet avec? y a un boulot monstrueux en terme d'optimisation!! faudras tenter de voir ca sur le forum sécu/optimisation. Sony te colle 1000 services dont l'utilité est pas évidente!Pour peu que le pc ne soit pas puissant...

salut botbot Prends le temps de parcourir les rubriques du forum sécurité, tu y apprendras comment sécuriser ton pc et éviter le formatage(c'était prévisible)

salut @ tous Lina , on ne peut rien deviner comme ca! Effectue la procédure suivante et poste ton rapport: http://forum.zebulon.fr/index.php?showtopic=69176

salut freestyle,stonangel Ton rapport est propre, comment fonctionne le pc? Vas faire pour vérification un scan en ligne et poste le rapport: http://www.pandasoftware.com/products/activescan.htm

Il n'y a sur ton rapport rien d'infectieux pour moi! Vas s'il te plait faire un scan ici et poste le rapport: http://www.pandasoftware.com/products/activescan.htm Configure Spybot avec ce lien: http://www.zebulon.fr/articles/spybot_1.php

salut xibaarinfo et bienvenue Tu as bien bossé,j'analyse ton rapport ,réponse dans un instant!

salut jb210 Ton pc étant probablement infecté fais ceci=> http://forum.zebulon.fr/index.php?showtopic=69176 Poste ton rapport hijackthis en suivant bien la procédure!

salut jeje Il s'agit de notre fai bien aimé Monsieur Le Neuf Ca c'est un hacker de première! Tout vas bien. Tu as bien fait de virer les cochoneries à la main,j'allais te le suggérer! Concernant ceci => Application défaillante lsass.exe, version 5.1.2600.1106, module défaillant kernel32.dll, version 5.1.2600.1106, adresse de défaillance 0x0000f459 Je ne pense pas que ce soit l'oeuvre d'un malware: On va faire un system file checker(vérifier l'intégrité de tes fichiers systeme) et bon point, ca a aussi l'avantage de désactiver la restauration système (tes points de restauration étant surement vérolés , ca t'évitera par la suite de remettre un systeme infecté!) => Si tes problèmes de connection persistent ,le plus simple serait de la refaire manuellement: http://www.faqoe.com/connexionmanel.htm Tiens moi au courant!

salut Metalyn En attendant que tu reviennes! Bon yoursitebar a squatté la base de registre on dirait On va télécharger ceci,qui vas tout effacer dans la zone de confiance et de restriction: DELDOMAINS Mike Burgess=> http://www.mvps.org/winhelp2002/DelDomains.inf Ceci étant fait ,la zone de confiance et de restriction sont a présent vides: je te conseille vivement de télécharger IE-SpyAd,qui va ajouter un certain nombre(environ 5000!)de sites douteux à la zone de restriction afin de leur interdire l'utilisation de contrôles activex => IE-Spyad 2=> https://netfiles.uiuc.edu/ehowes/www/res/ie-spyad2.exe Une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg: les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! Ceci étant fait on va s'attaquer au reste Il va falloir que tu ailles effacer des clés à même la base de registre: HKEY_LOCAL_MACHINE\SOFTWARE\YourSiteBar => Tu ouvre l'arborescence "HKEY_LOCAL_MACHINE"(en cliquant à gauche sur le +) ,tu descends jusqu'à la clé "SOFTWARE" ,enfin tu descends jusqu'à la sous clé YourSiteBar. Efface là!!(clic droit=>effacer) Enfin ici: [HKEY_USERS\S-1-5-21-3926820913-3596886029-1436539849-1005\Software\Microsoft\Search Assistant\ACMru\5603] "001"="yoursitebar" Tu vas jusqu'à la sous clé "Search Assistant" =>"ACMru"=> puis tu cliques sur la sous clé "5603" :dans le panneau de droite, tu effaces la valeur "001"="yoursitebar" Si tu as le moindre doute, dis le !! La manipulation du registre étant souvent périlleuse! Un lien pour la compréhension de la bdr: http://www.zebulon.fr/articles/base-de-registre-1.php -vas aussi voir dans installer /désinstaller si tu le trouve - vas voir ici=> C:\\Program Files\\YourSiteBar=> vire le dossier Enfin une fois ceci fait, exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Voilà si je ne suis pas assez clair ,n'hésite pas à demander

salut Metalyn Pour ce rapport rien d'inquiêtant! Tu peux nettoyer tous ces cookies manuellement ou utiliser un utilitaire tel que cleanup40: -Télécharge Clean Up 40 et installe le dans un répertoire à lui: http://www.stevengould.org/software/cleanup/ Ouvre CleanUp40 et vas sur "clean up custom" et assure toi queseules ces cases sont cochées: * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan(cleanup) -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ipl t'avais fait renommer ton fichier hosts en "hosts.anc " il n'est donc plus actif tu vas pouvoir l'éliminer (le fichier" hosts.anc "!) Un reste de yoursitebar dans le rapport, on va faire une recherche dans ta base de registre: Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle yoursitebar dans la première ligne de la zone de recherche - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel edit :on va voir pour virer kério par la suite!

salut freelance Tu sais quoi faire à présent [HKEY_USERS\S-1-5-21-1497286466-4149289120-1296836545-1005\Software\Microsoft\Search Assistant\ACMru\5603] "001"="Ncase" Tu cliques sur la sous clé "5603" et dans le panneau de droite tu élimine la valeur Ncase Pour ce qui concerne la clé History=> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History , c'est rien de méchant, tu peux la laisser.(il doit s'agir des sites bannis par Spyware blaster,Adaware ou spybot (Vaccination)). Pour un bon nettoyage de la base de registre utilise jv16: Télécharge :jv16 http://telechargement.zebulon.fr/201-jv16-powertools.html - Mets le logiciel en français : Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Clique sur "Continuer" puis sur "Démarrer". Une fois que c'est terminé, sélectionne toutes les lignes marquées d'un rond vert puis supprime-les.

salut freelance,rien de méchant sur le rapport Panda! On va nettoyer (tu peux faire ca pour les deux pc) -Télécharge Clean Up 40 et installe le dans un répertoire à lui: http://www.stevengould.org/software/cleanup/ Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées: * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan(cleanup) -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm On peut faire une petite recherche pour voir si "nCase" est encore là: Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle nCase dans la première ligne de la zone de recherche - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Recommence avec 180solutions et poste les rapports. Comment fonctionnent les pc??

salut -Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/files/EClea2_0.exe redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: -GoZilla Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = With Manatee's Island R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\GoZilla\GoIEHlp.dll O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: PowerReg Scheduler.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present=>est ce toi qui as émis cette restriction via Spybot?sinon coche! O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-12.cab O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqemea/downloads/msxml4.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab27571.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/SymAData.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/115...geUploader3.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.nomatica.com/XUpload.ocx O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab27571.cab Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\PROGRAM FILES\GoZilla=> le dossier -Passe un coup de Spybot S&D mis à jour -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification. Fais aussi un scan en ligne ici et poste le rapport=> http://www.pandasoftware.com/products/activescan.htm

salut et bienvenue sur le forum De quel espion parles tu? Bill gates Suis la procédure suivante pour commencer à nettoyer ton pc et poste le rapport à la suite de mon message => http://forum.zebulon.fr/index.php?showtopic=69176

salut anianka ,méga Content de voir quelqu'un de persévérant comme toi! ca fais plaisir. Et content que ton pc fonctionne à nouveau (merci à méga ) Bonne vacances anianka

salut Lina ,Médicus 33 Ouaip tu peux suivre la recommendation de l'ami Médicus 33 et poster un log hijackthis pour vérifier si tu n'as pas chopé quelques cochonneries entre temps => http://forum.zebulon.fr/index.php?showtopic=69176 Bon courage

salut florent1968 et bienvenue sur ce forum Ton pc est tres infecté!! Bon évidemment la cause tu dois t'en douter c'est ca=> C:\Program Files\eMule\emule.exe Dis toi bien que même si tu remet ton pc en état et que tu continues à utiliser ce genre de programme tu es sûr d'être réinfecté sous peu: à chaque fichier cracké que tu charge , un malware l'accompagne. Fais un test et tu verras que je dis vrai! On a banni le P2P sur le forum, s'il te plait fais toi du bien: désinstalle cette daube! Suis la procédure suivante pour commencer à nettoyer ton pc et poste le rapport à la suite de mon message => http://forum.zebulon.fr/index.php?showtopic=69176 Une fois ceci fait on t'aidera a nettoyer et sécuriser ton pc parce que là ca craint

Ton log ne montre plus d'infection! vundo a disparu on dirait! Il faut que tu désinstalle le reste de kério! O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing) Est ce que tu est passé par Install/désinstallation de programmes? Si tu y trouve kério, désinstalle le. Vas dans =>C:\Program Files\Kerio et regarde si tu as un fichier "désinstaller" ou "uninstall" . Si il est présent utilise le pour que l'assistant désinstalle le programme. Sinon elimine ce dossier :Kerio Puis va dans démarrer=>éxécuter : tapes cmd => sc stop Kerio Personal Firewall 4 sc delete Kerio Personal Firewall 4 Un message doit t'avertir du succès de l'opération. Passe ensuite un coup d'Easycleaner pour nettoyer les restes de la base de registre. As tu fais un scan en ligne? Par ailleurs pourrait tu copier /coller le contenu de ton fichier Hosts pour voir si il est propre? Est ce que ton pc fonctionne correctement maintenant?

salut Metalyn désolé de pas t'avoir répondu plus tôt! je viens de redécouvrir le forum sécu qui a bien changé! J'analyse ton log!

Salut freelance Je comprends pas??Le log du second pc ne montrait rien d'infectieux ,c'est pour ca que je te demandais un scan en ligne,la procédure que je t'ai envoyé (avec téléchargement de"FixIstBar") n'était valable que pour le premier pc, on est d'accord??

salut méga topynou Il va falloir faire un tour ici pour désactiver certains services inutiles au bon fonctionnement du pc, voire craignos pour la sécurité : O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe suis le tutorial suivant => http://www.zebulon.fr/articles/services_1.php

ooohhh la zolie fenêtre quand on répond salut freelance Quelques remarques: - dans ton 1er rapport(pc 1) * On voit Norton mais aussi McAfee Internet Security: ce dernier fais il aussi antivirus? Si oui ne garde que McAfee Internet Security puis qu'il fait aussi firewall!! *As tu fixé la ligne suivante en mode sans échec?=> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.100.25:8080 *Le rapport de l'active scan est il complet (Adware:adware/ncase=> 180Solutions) , je suis étonné que Spybot ne lui ait pas réglé son compte!! Voilà les cles qui sont ajoutées dans la base de registre: - Supprimez Ncase : Redémarrez en mode sans échec Dans le Registre, ouvrez : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Dans le volet de droite, supprimez une entrée nommée MSBB Ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Dans le volet de droite, supprimez ces deux entrées : nCase et msbb Ouvrez HKEY_CURRENT_USER\Software Dans le volet de droite, supprimez une clé nommée 180solutions Dans l'Explorateur Windows, lancez une recherche sur ces deux termes : NCASE et MSBB.EXE Supprimez toutes les occurrences trouvées. Parcourez ensuite : c:\Program Files\Downloaded Program Files Supprimez ce contrôle ActiveX : nCaseInstaller Class Videz votre Corbeille...et passe un coup d'easy cleaner (inutile et registre) Si tu as un doute ou ne sais pas comment faire n'hésites pas à demander! -dans ton second rapport Pour le second pc aucune désinfection n'a été faite! si tu parles du scan en ligne,il ne désinfecte rien; il t'indique juste ou trouver les cochoneries ..poste le rapport! - un reste de norton sur ton second pc , va voir ici pour le désinstaller proprement: http://speedweb1.free.fr/frames2.php?page=divers3

salut botbot, Voilà la réponse à ta question Tu utilise une version bidouillée de xp pro, ne t'étonnes pas du résultat! Tu cumules en plus! Entre une version pourrie d'xp et des logiciels de P2P tu es bien servi! "ctrl+alt+suppr ne fonctionne plus"etc... ca t'étonnes? change tes habitudes tu verras tout ira pour le mieux!En téléchargeant tout et n'importe quoi tu vas passer ton temps à choper des daubes,et à formater évidemment! Tiens si tu as le courage lis ca, peut être que tu apprendras quelque chose: tu tombes à pic,on parle de toi ici=> http://forum.zebulon.fr/index.php?showtopic=77471 Le pire to pire est banni du forum:jette un oeil à la charte tu comprendras! Pas que l'on ne veuilles pas t'aider, mais ca ne changera rien à ton cas: d'un coté tu vas nettoier ton pc et de l'autre tu vas le flinguer..

salut Des messages d'erreur relevés?

re Est ce que tu as quelque chose en rapport avec ta caméra? Tente de la faire fonctionner et regarde si une erreur a été détectée, poste le rapport. Elle date de quand cette MAJ? ton problème est il antérieur à celle ci? Il est possible que les nouveaux drivers ne conviennent pas!