chercheur

Bonjour, Bienvenu sur Zebulon Les lignes R0 et R1 sont les conséquences de l'infection, pas la cause. Il faut supprimer les fichiers infectés. Mais avant de poster le rapport ici pour que l'on puisse t'aider, un peu de ménage. *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour *Télécharge ces deux logiciels antispywares complémentaires - Ad-Aware SE Personnal http://www.lavasoftusa.com/default.shtml.fr mettre à jour, scanner et supprimer tout - Spybot http://www.safer-networking.org/fr/home/index.html mettre à jour, scanner et supprimer tout. Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. Pour une meilleur réponse, télécharge HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.[/url]

Bonsoir DD11, BipBip07, Ipl_001, Megataupe Il n'y a pas de raisons techniques. Classiquement, on fixe avec HijackThis, on démarre en mode sans échec et on supprime les dossiers. Il est aussi possible de tout faire en mode normal, mais il y a des résistances avec certains fichiers que l'ont ne peux pas supprimer car ils sont en cours d'utilisation par un processus quelconque. Il est aussi possible de tout faire en mode sans échec. C'est d'ailleurs de cette façon que l'on procède quand on rencontre des difficultés à éliminer certains malwares.

Re, Edit Bonsoir Ipl_001 Ton rapport est devenu propre. Mais tu as été infecté, il va falloir prendre quelques précautions... Protection minimale : - système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases ( http://windowsupdate.microsoft.com/ ) - pare-feu bien paramétré, gratuit par exemple ZoneAlarm et son tutorial - antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit par exemple AVAST Home Edition FREE avec souscription obligatoire et son tutorial - antitroyen gratuit passé périodiquement, par exemple A2 en le téléchargeant Il est nécessaire de s'enregistrer pour bénéficier des mises à jour - antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE Personnal et son tutorial et Spybot Search and Destroy 1.3 et son tutorial - Se protèger des ActiveX nuisibles avec SpywareBlaster et son tutorial - comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) - attitude vigilante quant aux dysfonctionnements de ton système. - maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) Tous ces programmes parfaitement mis à jour avant chaque utilisation. Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html Fais passer le message sur la prévention autour de toi !!

Bonsoir, Je regarde ton nouveau rapport, réponse dans quelques instants.

Re, 1 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes : - CMEII - GMT - Gator 2 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: (no name) - {F6092FFB-E6E9-F587-8075-5AB91453554A} - C:\DOCUME~1\JIMMYV~1\APPLIC~1\Transone\greatspam.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [way style thunk joy] C:\Documents and Settings\All Users\Application Data\hopeknobwaystyle\copyaxis.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe O4 - HKCU\..\Run: [bioniXWallpaper] "C:\Documents and Settings\JIMMY VIRGINIE\Bureau\changer la voix\Program Files\BioniX Wallpaper v4.60\BioniX Wallper.exe" O4 - HKCU\..\Run: [amen open] C:\DOCUME~1\JIMMYV~1\APPLIC~1\DARTEA~1\Site Pure Ooze.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe O4 - Global Startup: DigiCell.lnk = C:\Program Files\MSI\DigiCell\DigiCell.exe O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra button: Desktop Currency Converter - {676D40B8-BEDD-4313-9AD9-1FD38762F82A} - C:\Program Files\Mioplanet\Desktop Currency Converter\Desktop Currency Converter.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110898367867 O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 4 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\Documents and Settings\JIMMY VIRGINIE\Application Data\Transone C:\Documents and Settings\All Users\Application Data\hopeknobwaystyle C:\WINDOWS\system32\srvreg.exe C:\Program Files\Fichiers communs\CMEII C:\Program Files\Fichiers communs\GMT 6 Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 7 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Re, Ces lignes me renseigne sur ton système et sur les packs. tu as le SP2 Pendant que je continue l'analyse, Messenger Plus! 3 est un nid à spyware. Il est responsable d'une partie de ton infection. Désinstalle le maintenant. Une fois l'ordinateur propre, soit tu mets une autre version, soit tu réinstalle le même mais en n'oubliant pas de décocher la case Autoriser les sponsors.

Re, Je regarde ton rapport, réponse dans quelques instants. Il manque le début de ton rapport comprenant 4 lignes comme

Bonsoir, Bienvenu sur Zebulon. Tu as passé plein d'utilitaires, mais as tu vidé les fichiers temporaires ( tu n'en parles pas ) *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille Quand tu dis "hijickiser", est ce que cela veut dire que tu as utilisé HijackThis , si oui, comment as tu analysé ? Poste un rapport ici pour contrôle.

Bonsoir, Il faut savoir qu'il y a souvent des infections associées à Gator. Si cela n'a pas été fait, le mieux est de commencer par un peu de nettoyage : *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour *Télécharge ces deux logiciels antispywares complémentaires - Ad-Aware SE Personnal http://www.lavasoftusa.com/default.shtml.fr mettre à jour, scanner et supprimer tout - Spybot http://www.safer-networking.org/fr/home/index.html mettre à jour, scanner et supprimer tout. Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. Pour une meilleur réponse, télécharge HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.

Bonsoir à tous, Je suis la progression du travail d'ipl avec attention. Ces utilitaires vont nous aider dans nos désinfections d'ordinateur

Bonsoir, Télécharge FixSwen de Network Associates -McAfee- ( http://download.nai.com/products/mcafee-avert/Fixswen.inf ) et installe le sur le bureau. Il est employé pour remettre en place (dans la base de registres) les associations relatives à l'exécution des fichiers exécutables (.exe, .com, .bat, .reg, etc.) Il s'agit d'un fichier .INF : clic droit / Installer Il n'y a aucun danger à le lancer même sur un système non infecté ! Cela va peut être refaire fonctionner tes programmes.

Bonjour, -Télécharge CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". -Redémarre et poste un log Hijackthis pour contrôle.

Bonjour, Elle sont effectivement légitimes. Ces lignes ne sont pas éliminées par les membres de l'ASAP sur les forums américains . Par contre, on peut trouver des fichiers différents avec le même numéro de CLSID. Cette modification est provoquée par le malware CWS.Xmlmimefilter. Donc tu peux être tranquille

Bonjour, Bienvenu sur Zebulon Essaie la suppression en mode sans échec Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. En mode sans échec, les modules habituels ne sont pas lancés en même temps que Windows mais seulement les modules de base permettant l'utilisation basique et les processus infectieux ne sont pas en mémoire pour bloquer la suppression des fichiers. Aprés les manipulations préconisées, redémarre en mode normal. Fais bien une recherche sur l'ordinateur avec les noms Symantec et Norton. Il y a souvent des traces partout. Utilise aussi un netoyeur de la base de registre Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons )

Bonsoir à tous. babounS, que tu veuilles aider à faire du ménage avant que nous étudions les rapports HijackThis, pas de problème. C'est souvent très utile. Mais un merci à l'auteur du texte serait sympathique pour Clément64

Bon, On va faire autrement. Si cela n'a pas été fait, le mieux est de commencer par un peu de nettoyage : *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. Pour une meilleur réponse, télécharge HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.[/url]

Bonsoir kapax, babounS, Clément64, bonsoir à tous Sur ce site tu verras précisement l'intrus. http://www.spywareinfo.com/~merijn/cwschro...tml#smartsearch

Bonjour, Bienvenu sur Zebulon -Télécharge CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix".

Bonjour, Bienvenu sur Zebulon Démarre en mode sans échec, et prend la session Administrateur. Normalement, tu pourras faire les modifications.

Bonjour, En plus des lignes conseillées par PyRex, Tu peux aussi fixer avec HijackThis la ligne ci-dessous : O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE --> Consommateur inutile de ressources Concernant les lignes 016, il faut savoir que l'on peut les fixer sans problèmes, car cela correspond aux ActiveX. Donc retéléchargeable à volonté. Ne pas oublier de supprimer le fichier incriminé, s'il existe encore : C:\WINDOWS\vsnpstd.exe Et vide la corbeille. Les Extras Boutons des lignes 09 correspondent aux boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE.

Bonsoir, Un processus tout seul n'est pas très parlant. C'est surtout sa localisation qui peut être importante. Exemple: svchost.exe est normalement situé dans le System 32 pour XP. S'il est situé ailleurs, c'est un méchant. Pour une meilleur réponse, télécharge HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.

Rebonjour, Ton rapport est propre, juste une ligne qui est ambigue. Est ce que c'est toi qui a créé ce dossier pour vider automatiquement C:\Windows\temp ? Concernant les processus, il est difficile de savoir s'ils sont tous légitimes. Je continue mes recherches. Pendant ce temps, fait une analyse en ligne sur http://www.ravantivirus.com/ Tu clique sur Scan your PC online, puis sur To continue without subscribing. Tu attends la mise à jour. Ensuite tu coches Autoclean et tu démarres le scan. Colles le rapport ici. Et utilise A2 comme je te le conseille au dessus.

Bonnjour, Un autre lien pour Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Rebonjour museuterpe, bonjour ipl_001, bonjour à tous Je pencherais pour Windows 98. C'est vrai qu'un fichier tout seul ne veux pas dire grand chose. Il faut savoir sa localisation précise. Je n'ai pas trouvé grand chose sur ces fichiers. Avant d'aller plus loin dans l'analyse, tu va faire du ménage. Si tu as Windows 98, certaines fonctions ne sont pas accessibles. *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour *Télécharge ces deux logiciels antispywares complémentaires - Ad-Aware SE Personnal http://www.lavasoftusa.com/default.shtml.fr mettre à jour, scanner et supprimer tout - Spybot http://www.safer-networking.org/fr/home/index.html mettre à jour, scanner et supprimer tout. Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. Pour une meilleur réponse, télécharge HijackThis v1.99.1 si tu n'as pas la bonne version http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.

Bonjour, Bienvenu sur Zebulon Il manque le début de ton rapport, les 4 premières lignes indiquant ton système. C'est utile pour la compréhension. Pendant ce temps, je démarre une analyse de ton rapport, réponse dans quelques instants.