Thanos

salut et bienvenue sur le forum sécu Je jette un oeil sur ton rapport. Tu as des prroblèmes avec le pc? des messages d'erreur?

c'est pas l'armée du salut ici On répond quand on peut, et on est pas à tes ordres!

re Une recherche sur ton soucis m'amène à te demander ceci: Il est possible que tu sois victime d'un vers(STANG) qui se propage via MSN,est ce que tu as ouvert une image ou photo bizarre qu'on t'aura récemment expédié? Voilà un post qui liste des symptômes qui ressemblent étrangement à tout ce que tu nous dit depuis le début!!=> Le reste pour ton info, ici=> http://www.mag-securs.com/article.php3?id_article=2061 Pour savoir si tu es infecté ,s'il te plait jette un oeil(sans rien modifier!) aux clés de registre suivantes : Si tu trouve ces valeurs(AntiVirusDisableNotify = 00000001 ;UpdatesDisableNotify = 00000001...)on tienspeut être la soluce! Fais cette recherche stp, c'est vite fait et ca nous mettra sur une piste. mégataupe fait bien de te faire fermer ces port pourris! (135...) qui sont justement utilisés pour infecter ton pc!Au fait quelle version de MSN utilises tu? Courage EDIT: Une autre piste suggérée par l'ami Tirol Un fichier qui peut s'avérer infectieux sur ton pc qui m'a échappé=> O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE Est ce que tu as une carte son de la marque "Realtek AC97"?? Il est possible que ce soit W32/Agobot-JS !! Il se trouverai dans C:\windows\systeme Pour nous assurer qu'il s'agit de cette daube, fais ceci: Va dans C:\WINDOWS\system32\drivers\etc puis double clique sur le fichier " hosts". Une fenêtre s'ouvre et te demande quel programme utiliser pour l'ouvrir : sélectionne notepad(bloc notes). Copie colle le contenu du fichier ici.Cette saloperie ajoute l'adresse ip des editeurs d'antivirus et leur associe cette adresse :127.0.0.1 => ce qui t'empêche de te connecter à leur site. Fais analyser ce fichier (lance une recherche si tu trouves pas) par jotti et poste le rapport: http://virusscan.jotti.org/ Voilà quelques pistes que tu peux explorer. Tu pourra pas dire que ton problème ne mobilise pas les foules Un grand merci à Tirol pour son aide et à mégataupe

jeje ,je vais t'ennuyer encore un peu: j'aimerai que tu poste un rapport silentrunner pour voir si quelque chose nous a échappé:j'écume le net pour voir si un problème similaire a été résolu! -Télécharge cet utilitaire: Silent runners http://www.silentrunners.org/Silent%20Runners.zip Une fois téléchargé, tu le dézippes dans un dossier dédié. Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message. Un log est généré dans le même dossier, colle le log ici.

salut ADSLgratui rien que le titre me fais peur... Non,je connais pas, en fait je suis resté tres traditionnel je croix

re Je vois que tu as déjà fixé ce que Ewido a trouvé Relance un scan pour voir si il a tout viré! Ton log hijackthis ne montre pas d'infection pour moi: comment fonctionne le pc à présent? C'est quoi ton parefeu ,celui du sp2?

salut @ tous Je ne vois rien d'infectieux sur ton rapport hijackthis. As tu été vérifier que les services incriminés ont bien disparu (dans services.msc)? On va voir ce que le scan en ligne donne!As tu attendu suffisament longtemps pour que le mode sans échec se mette en route?

salut eric-d Pas un luxe de passer Ewido!! Quelques belles cochoneries qui n'apparaissaient pas sur le log hjt!Je vais manger puis si personne ne l'as fait d'ici là, j'analyserai tes rapports

salut à tous aucharbon, il est ou ton parefeu??

Pas de panique Pour faire un ghost, des infos ici=> http://www.commentcamarche.net/faq/sujet-3...Syst%E8me-Ghost Pour les logiciels : tu peux garder Hijackthis (toujours utile !) , Ewido est à l'essai pour 14 jours je crois :tu peux le désinstaller. La règle étant de ne garder qu'un antivirus en résident, tu peux faire tourner kaspersky sur le pc(résident donc) et conserver Antivir qui sert à scanner le pc de temps en temps (apres mise à jour!). Les logiciels de nettoyage ne posent aucun problème, tu peux conserver: jv16,easy cleaner, ccleaner. (parfois une utilisation croisée permet de nettoyer en profondeur!). Les antispy tel ad-adware, spybot sont complémentaires (si tu utilise adaware et spybot, n'utilise pas le teatimer!!) Si tu as des questions n'hésite pas=>suis les tutoriaux disponibles pour bien p aramétrer les logiciels: Je t'avais fais faire ceci pour avoir acces à tous les fichiers => A présent recache tous ces dossiers pour ne pas en effacer un par erreur! -Nettoie ton pc avec Easy cleaner Registre et Inutiles.Ne pas toucher à la fonction doublons Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc: -=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe: -Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/ -Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE! : -=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux) Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg: les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! ) https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD => ZebProtect (pour sécuriser les ports de ton pc,tres simple) -Tutorial:http://www.zebulon.fr/articles/zebprotect.php -Téléchargement: http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du pc: http://www.blackcode.com/scan/ =>SpywareBlaster: http://www.javacoolsoftware.com/downloads.html Son tuto: http://www.ordi-netfr.org/tutorialspywareblaster.html =>Ad-awareSE http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm =>SpyBot-Search & Destroy http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

salut Fais quand même un scan en ligne pour voir si elite est parti! => http://www.pandasoftware.com/products/activescan.htm Et poste le rapport.

salut jack , mike Ceci dans le rapport Ewido m'étonne: HKLM\SYSTEM\CurrentControlSet\Services\WinToolsSvc -> Spyware.WebSearch : Erreur durant le nettoyage Par curiosité, télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle WinToolsSvc dans la première ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel

salut à tous. ADSLgratuit,tu as bien fait de poster un log hijackthis,mais plutôt que d'éditer ton message, tu aurais dû en recréer un: j''ai failli le rater Malgré l'arsenal préventif le pc est infesté=> O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe Il s'agit Win32.Iroffer.b ! => Est ce que les scans effectués l'ont été en MSE?Essaie de refaire un scan avec Ewido en mode sans échec,apres l'avoir mis à jour. -Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/files/EClea2_0.exe redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Vas dans démarrer=>executer et tu tapes : services.msc - Cherche les services suivants: NTLOAD NTSVCMGR Status du service=> mettre sur arrêté, Type de démarrage => désactivé -vas dans le menu démarrer executer et tu tapes : cmd dans la boite de dialogue qui s'ouvre, tu tapes => sc delete NTLOAD sc delete NTSVCMGR Un message t'avertit de la réussite de l'opération. Quitte la console. Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes : R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present =>si ce n'est pas toi qui à émis les restrictions,coche! O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120147391809 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : c:\windows\system32\dllcache\win32\winlogon.exe -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. -Poste un nouveau log hijackthis en mode normal -Ceci, aucune info sur sa fonction: D:\APPLICATIONS\SYSTEME\diskmon\diskmon\DiskMon.exe va faire analyser ici : http://virusscan.jotti.org/ -Fais aussi un scan en ligne ici et poste le rapport=> http://housecall.trendmicro.com/housecall/start_corp.asp Edit: Sebastien.B , tu as raison! je ne connaissait pas la bêête!

salut eric-d -Télécharge Clean Up 40: http://www.stevengould.org/software/cleanup/ -Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/files/EClea2_0.exe redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Démarre Hijackthis "Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\perso\LOCALS~1\Temp\delus.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,23/mcgdmgr.cab Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. -Exécute Cleanup40 -aide en image:(merci a Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm S'il te plait, poste le rapport de silentrunners=> -Télécharge aussi cet utilitaire: Silent runners http://www.silentrunners.org/Silent%20Runners.zip Une fois téléchargé, tu le dézippes dans un dossier dédié. Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message. Un log est généré dans le même dossier, colle le log ici. Le scan en ligne ne fonctionnant pas: Ne fixe rien avec Ewido, poste le rapport seulement,qu'on y voit plus clair

salut Tanguy,envoie le matos

Tu fais bien Jack! incruste au niveau du registre aux cles suivantes: http://www.sarc.com/avcenter/venc/data/tro...echnicaldetails

salut Jack,kitanae Pour celui ci=>O23 - Service: Windows Messenger - Unknown owner - C:\WINDOWS\System32\msmsgs.exe" -netsvcs (file missing) C'est Trojan.Zlob.B je crois bien! il a rien à faire dans system32 pépère! EDIT: est ce que tu parviens à ouvrir Regedit?

salut mike,Jack Cette ligne => O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k montre qu'il y a quelques soucis sur ton pc, mais hijackthis ne montre rien d'infectieux, tout au plus des inutiles à virer. Tu as deux antivirus!! Avant de virer Ewido de ton pc, peut tu scanner en mode sans échec et poster un rapport(apres l'avoir mis à jour) ? Un message d'erreur?

salut marconi2 et bienvenue sur ce forum Ton pc étant infecté commence par effectuer cette procédure pour nettoyer ton pc => http://forum.zebulon.fr/index.php?showtopic=69176 Puis poste un log hijackthis en suivant cette procédure. Si tu as des questions,n'hésite pas

salut MPHB Désinstalle l'ancienne (avec passage d'Easy cleaner inutile +registre)version puis télécharge la nouvelle ici=> http://www.safer-networking.org/fr/download/index.html =>et sa configuration: http://www.zebulon.fr/articles/spybot_1.php et n'oublie pas de le mettre à jour

impec!! Est ce que tu as configuré Spybot avec le tutorial disponible sur zeb?? Tu utilises la version 1.4?

ouaip dans ce cas c'est pas bon signe Peut être nouveau sur le marché et pas encore au point le Tauscan! il risque de finir sur la rogue list!

salut ADSLgratuit Les alertes que tu recois dans ce rapport proviennent de programmes visiblement légitimes...Je ne connais pas cet antitroyans, ca demanderai confirmation à l'aide de A² par exemple pour voir si il ne s'agit pas de faux positifs! Si tu ne l'as pas ,télécharge A² ici=> http://www.hijackfree.com/en/download/ .(a² free pas Personnal) Ou fais un scan en ligne pour voir si le résultat est similaire. D'apres ce rapport, ta restauration systeme serait infectée...

re hergé Mégataupe ne pause pas de question , il te demande de vérifier l'intégrité de tes fichiers système.Essaie et dis nous si des erreurs sont détectées.

Tres bien on l'a pas fais venir pour rien Tu vas pouvoir rescanner en mode sans échec et virer tout ce que trouve Ewido. Petite remarque: - C : \ W I N D O W S \ s y s t e m 3 2 \ m s m s g r s . e x e - > B a c k d o o r . R b o t Lorsqu'on dit à quelqu'un dont le pc est infecté que son système n'est pas à jour, ca n'est pas du vent (je dis ca pour ceux qui le liront ) Ce vers => W32/Sdbot-ADN c'est pas une nouveauté : Il exploite des vulnérabilités qui ont été réparées par Microsoft via ses mises à jour critiques.En téléchargeant(par windows update) les MAJ suivantes:(MS04-012) (MS05-039) et (MS04-007) cette infection aurait été certainement été évitée!(mises à jour éditées en 2004!!) Donc, jeje58 , s'il te plait télécharge les mises à jour critiques de windows!! Après ca dis moi comment fonctionne le pc('parviens tu à ouvrir REGEDIT et msconfig?) +Un dernier scan pour voir si Ewido a tout viré! A propos de ce problème : Tu veux dire que la page qui s'affiche c'est About:blanck?? Apres avoir fais ceci:[ Outils=>Options internet=>Programmes=>Rétablir les Paramètres web,puis tu valides.] ; as tu été dans l'onglet "Général" pour mettre la page à utiliser comme page de démarrage?