Thanos

salut poire 1000 Je te renvoie à ceci avant toute chose=> Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire =>donc pas sur le bureau!! -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse. emule.exe=>tiens? déjà vu quelque part ça ,pas apprécié sur le forum sécu...

salut stonangel , gti gti , tu as un siecle de retard au niveau des mises à jour chez crosoft=> Pack SP1 http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html ou mieux, Pack SP2 http://www.microsoft.com/france/windows/xp/sp2/default.mspx n'oublie pas que les correctifs aident à combler les trous sécuritaires sur windows , la c'est plus une faille

re tu dézippes(!) dans un dossier que tu crées pour l'occaze!

re vu que nail.exeest dans les parages, télécharge ABIremover.zip: http://forum.hijackthis.de/attachment.php?attachmentid=177 Redémarre en mode sans échec et Installe ABIRemover, patiente... pendant l'installation l'explorateur Windows se fermera. Redémarre en mode sans échec. Lance Hijackthis scan et coche: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe Ferme toutes le fenêtres tous les programmes puis Fix checked Redémarre normalement et poste un nouveau rapport pour vérification.

salut tu as fait ton log en mode sans échec?parce que y a pas mal de trucs au démarrage là! C:\DOCUME~1\FAYAL~1\LOCALS~1\Temp\HijackThis.exe=> Pas d'hijackthis dans un dossier temporaire!!sinon pas de sauvegarde.. tu as téléchargé Antivir et scanné en mode sans échec? ca nous débarrassera de quelques daubes,pour commencer!!

salut @ tous On va surement te le dire ,donc ca=>eMuleAutoStart , c'est une des principales raisons de ton infection.Il serait préférable que tu t'en débarrasse

salut est ce que tu as regardé si le systeme de fichier était en RAW? si c'est le cas il faudra que je remette la main sur un article concernant ce problème pour te donner une piste! tu as tenté le SFC comme te l'as conseillé BipBip?

re watchdog est ce que tu as l'Antispyware de chez crosoft?Si oui jette un oeil ici,ca te donnera peut être la soluce=>http://support.microsoft.com/?kbid=902956. c'est marrant je viens d'avoir cette alerte pour la 1ere fois aujourd'hui concernant "Windows Security Center" , je me demande si c'est pas un bug!? surtout que je n'ai pas le SP2 D'autres se posent la question sur les forum sécu...à suivre!

salut watchdog , tu passes quand tu veux, on l'attend de pied ferme son log @bientôt mon zami!

re stonangel , dave je viens seulement de voir l'analyse de Jotti désolé stonangel j'ai pas pris le temps de parcourir le post en entier! et merci pour ta réponse bon surf dave

salut à tous un logiciel de désinfection pour Trojan.agent.cs =>http://www.nod32.it/ =>à la rubrique "Preleva cleaner gratuiti" tu sélectionnes "AGENT CS trojan cleaner" dans la liste,c'est le 3 ème! pour le télécharger. Et n'oublie pas: C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe Tu dois mettre hijack dans son propre dossier(C:\hijackthis où C:\Program files\hijackthis..) et pas dans un dossier temporaire. @+

salut stonangel,dave j'avais conseillé à Dave de faire analyser cette ligne chez jotti.org parce qu'elle me paraissait suspecte=> O23 - Service: Windows Automatic Updates - Stanford University - C:\WINDOWS\system32\windowsautomaticupdates.exe Qu'en penses tu?

salut dave un peu de boulot sur ton log! comme on te le demandera surement ,Fais analyser ce fichier C:\WINDOWS\system32\windowsautomaticupdates.exe ici: http://virusscan.jotti.org/ et colle le rapport dans ton prochain message ,comme ca ce sera fait! J'aurais aimé t'aider mais la mécanique m'attends la réponse est oui , tu ne dois avoir qu'un seul antivirus en résident; ce qui signifie qu'éventuellement tu peux garder les 2 mais qu'il ne doit y en avoir qu'un d'actif. C:\Documents and Settings\DAVID\Bureau\HijackThis.exe=> met hijackthis dans son propre dossier , ni sur le bureau ni dans un dossier temporaire! C:\Hijackthis... @+

salut jawabel le chemin,c'est HKLM/software/microsoft/windows//current version/uninstall ! Ne te tracasse pas pour cette cle,c'est normal et elle doit être présente sur tous les pc! voilà les infos concernant cette clé=> [branding] ; Paramètrage d'Internet Explorer ; Yes = Brands the browser settings by using the entries specified in the browser-specific sections ; of the answer file: [FavoritesEx], [Proxy], and http://. ; No = Uses the .ins file specified in IEBrandingFile BrandIEUsingUnattended=No ; The full path to the file is not required. ; Le fichier .ins doit être présent dans le répertoire $OEM$ IEBrandingFile=IEINSTALL.INS En résumé,Cette section précise les paramètres à appliquer dans Internet Explorer durant l'installation. Si cette section est inexistante, les paramètres par défaut seront appliqués. Ton problème de lenteur est il récent où est il survenu apres l'installation du sp2? Ton système est peut être infecté...Poste un log hijack si tu as des doutes!Je te renvoie à la procédure de Mégataupe=> [url=http://forum.zebulon.fr/index.php?showtopic=69176]http://forum.zebulon.fr/index.php?showtopic=69176 @+

salut katta, salut à tous si tu vires norton , vire le firewall et l'antivirus : problème de conflit avec d'autres antivirus.Pour le faire je te renvoie à cet article de tesgaz très clair pour tout virer correctement=>http://speedweb1.free.fr/frames2.php?page=divers3 Quand à te conseiller un firewall tu peux essayer Sygate par exemple avec son paramétrage,ici=>http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm Sinon tu as Kério qui est bien aussi...De toute façon ils se valent tous plus ou moins quoiqu'en disent les tests des magasines! Norton est systématiquement critiqué pour sa lourdeur! tu peux te tourner vers Antivir qui effectivement a souvent détecté des virus que d'autres n'ont pas trouvé! pour son paramétrage c'est chez tesgaz @+

salut poch comme te l'a dit ipl , il s'agit des informations de sécurité d'Internet Explorer ; et il n'y a pas lieu d'être inquiet (tu connais déjà la réponse=>"c'est un endroit ou spybot repertorie tous les sites frauduleux") pour info il y a une maj disponible pour spybot si tu ne l'a pas déjà faite! @+ mon zami

salut ipl le problème dont traite cet article est bien d'actualité!Par expérience je peux te dire que ces problèmes de sécurité informatique sont tout autant présent en France, et pas seulement dans les PME. En effet, j'en ai fait l'expérience dans la société où je travaille: pas une petite entreprise sans moyens,non non,une des grandes entreprises du pays Quand j'apprends qu'un jour férié toute la production est bloquée parce qu'un serveur est tombé en panne et que personne n'est capable de prendre les mesures nécéssaires pour faire tourner la tôle!! Pire : pas de protection réelle des données et même pas de double sauvegarde Dans ma boite on a préféré enlever ce poste, alors qu'une simple formation du mec en place aurait suffit;c'est ce qu'on appelle des restrictions budgétaires Voilà la connerie actuelle! seulement en cas de disfonctionnement réel, ce sont des millers d'euros qui partent en fumée(données détruites,heures sup pour rattraper le temps perdu...): où est l'économie?Il va falloir se bouger et mettre en place,former des spécialistes capables de réagir face au problème du piratage industriel qui prend de l'ampleur... le seul point positif dans tout ça, c'est la création de nouveaux postes!

salut s.birkoff, ipl en fait ipl je garde le logiciel sous la main , tant il est vrai qu'il pourra se montrer utile par la suite.Le problème ici n'est pas lié à l'efficacité, mais plutot à la difficulté d'interpréter correctement les conclusions du rapport "rootkitrevealer" et à l'usage que l'on va en faire.Donc avant d'en savoir plus , ne le condamnons pas encore par contre panda scanonline me pose un petit problème...

salut mégataupe,ipl, O.Fournier Merci pour vos réponses les gars Bon en vérité je vous le dit, je ne sait pas trop quoi penser de tout ca Je n'ai que de rares disfonctionnements sur le pc qui n'ont certainement rien à voir avec un virus(? ). Depuis quelques jours, je n'ai plus l'icône de PG dans la barre de tâches mais il est quand même actif; pas de quoi fouetter un chat Méga , Olivier; vous avez pas l'air convaincus de l'efficacité du truc! je crois que je vais suivre vos conseils! Parallelement , j'ai fais un scan chez Panda :je sais ca n'a rien à voir avec Rootreavealer,mais le problème est identique,je m'explique=> je viens de voir que Pandascan s'attaquait à présent à la bdr, super me dis-je , on va faire un petit scan pour la forme!j'ai bien fais de venir =>voici le rapport: Adware:adware/wupd No Désinfecté C:\PROGRAM FILES\Windows AdStatus Adware:adware/gator No Désinfecté HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPUBLISHER\CTLS le problème ,c'est que dans C:\PROGRAM FILES, le dossier "Windows AdStatus" est vide!! par ailleurs, après recherches,voici les symptomes causés par:"Adware:adware/wupd" (que je n'ai pas)=> de plus,les clés concernées et décrites dans l'article de "Pandasoftware"ne contiennent rien de semblable... Donc dans la série "faux positif" je me demandais si Panda n'avais pas rejoint le club ...

salut @ tous je viens de faire un petit test avec "Rootkitrevealer" pour voir ce qu'il détecte sur le pc, on ne sait jamais! voici le résultat=> HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 30/07/2005 02:10 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\€ 16/05/2005 23:35 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\TrendMicro\PC-cillin\FireWall\LastAttackTime 30/07/2005 02:10 4 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\TrendMicro\PC-cillin\FireWall\LastAttackSource 30/07/2005 02:10 24 bytes Windows API length not consistent with raw hive data. C:\Documents and Settings\charles\Application Data\Mozilla\Firefox\Profiles\4scl3orh.default\Cache\293229ECd01 30/07/2005 02:13 5.17 KB Hidden from Windows API. ca vous parle? j'ai scanné ce répertoire avec a² , pc cillin ,et même Panda n'a rien trouvé=> C:\Documents and Settings\charles\Application Data\Mozilla\Firefox\Profiles\4scl3orh.default\Cache\293229ECd01 Est ce que vous avez testé le logiciel?y aurait il un problème de "faux positif"?

salut puduk,salut tous Le processus que tu pourrais virer de ton pc , c'est iexplorer.exe le cas echéant(virus) iexplore.exe c'est effectivement IE Qu'est ce que tu entend par supprimé?Tu veux dire que tu est passé par le Gestionnaire de tâches et que tu as arrêté le processus?

salut walkirie tu devrais telecharger un utilitaire de verification de disque dur sur le site du constructeur.Si tu cliques droit sur l'icone de ton dd qui y a t'il d'écrit pour le systeme de fichiers? pas RAW j'espère!Sinon tu as des logiciels qui recupèrent les données d'un disque dur innaccessible comme Ontrack Easy Recovery 6 Professional par ex.

impressionant, voilà qui va plaire à tesgaz

salut ipl inquietant tout ca j'ai parcouru cette page concernant les rootkits et ces quelques lignes qui en disent long=> Ce qui signifie en gros, que le profane a peu de chance de se débarrasser seul de ces saloperies.Le seul fait de le détecter releve déjà de l'exploit alors pour s'en débarrasser...et de conclure avec cette phrase optimiste=>"If you are unsure as to how to remove a rootkit you should reformat the system's hard disk and reinstall Windows" En ce sens le "Rootkitrevealer" est un outil très utile qui épargne de longues heures de recherche.Reste à l'utiliser à bon escient Merci ipl , un de plus sur ma clé usb!

salut MissMonde , Stonangel. J'ai retrouvé un vieux topic concernant Spybot , ou Tesgaz me donne une astuce ,ce qui résoud le problème que tu rencontres: -advcheck=>http://www.spybotupdates.com/updates/files...sd_advcheck.exe