BipBip07

Arfff je viens de voir que la version free était bien limité http://www.kerio.com/kpf_comparison_version.html NB: je vais laisser un MP a ipl_001 pour qu'il remplace kerio par Sygate dans mes consignes Sygate Personal Firewall Free A+

ricou666 Applique cette procedure puis reviens nous mettre un rapport Hijackthis afin de nous assurer que ton PC n'est plus infecté. http://forum.zebulon.fr/index.php?showtopic=69176 A+

Salut, fixe aussi ces lignes avec HJT: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing Voila bon surf

Salut psgactuality et megataupe Ton system n'est pas a jour commande gratuitement le CD XP SP2 chez MS: le SP2 (si tu a une connexion 56Ko tu peux commander gratuitement le CD chez Microsoft) - Pack SP2 Ensuite comme te le dis megataupe ton rapport HJT est propre. Par contre, ce rootkit en quarantaine dans Norton supprime le. Ensuite si tu lis l'anglais vas ici WORM_TILEBOT.A et vérifies ta base de registre en remettant les bonnes valeurs des clés. RootkitRevealer Télécharge rootkitrevealer.zip -> http://www.sysinternals.com/files/rootkitrevealer.zip Dézippe dans un dossier dédié sur ton bureau Ouvre de dossier et double-clique sur rootkitrevealer.exe Dans le menu, sélectionne 'Scan' Quand le scan est terminé, sélectionne 'Save...' dans le menu File et sauvegarde le fichier log. Copie le contenu de RootkitReveal.txt dans ton prochain post. RegSearch Télécharger http://www.bleepingcomputer.com/files/misc/RegSearch.zip - dézipper dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle le nom du « oran.sys » Service dans la zone de recherche et clique sur OK - après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel A+ NB: Il est trés important de faire les mises a jour windows car ce rootkit utilise des failles de XP pour se propager et désactive de nombreux paramettre de windows afin de rendre ton systeme encore plus perméable aux attaques et comme ton systeme a 5ans de retard de mises a jour tu été le candidat parfait a cette infection trés difficile a éradiquer !

Salut, psgactuality télécharge et pose un rapport Hijackthis dans un sujet neuf nous aviserons ensuite.

Bonsoir, commence par lire ceci http://forum.zebulon.fr/index.php?showtopic=64246 NB: surtout les conseils de BipBip LoL

Bonsoir, regarde ce sujet: http://forum.zebulon.fr/index.php?showtopic=73845&st=0 A+

Bonsoir, je vais essayer d'apporter quelques réponses a tes questions: Trés bien tout les firewall sont mieux que celui de windows. Oui mais, pas dans ton cas car ton rapport HJT est propre et il n'y a plus d'infection. De toute façon toute infection meme supprimée laisse des trace dans ton PC soit dans les dossiers&fichier et&ou dans la BdR. C'est pourquoi il vaut mieux prevenir que guerir Bonne idée de garder cette page dans tes favoris, mais je te conseil de visiter le site de zebulon et aussi celui de Tesgaz que tu trouvera dans sa signature qui te permettrons de t'enrichir "informatiquement" en toute simplicité. Il ne faut pas negliger l'installation de Java et zeb protect est un outil idéal pour les débutant et averti pour se proteger Ciao

psgactuality soit le bienvenu, si tu lis attentivement le sujet de deboudoudou la désinfection a réussi ) Mais pour ce qui est de ton probleme d'infection je te conseil de creer ton propre sujet afin de ne pas nous melanger les pinceaux Et avant de creer celui ci exécute cette methode: http://forum.zebulon.fr/index.php?showtopic=69176 salut tesgaz on c'est croisé A+

Je sais pas peu etre un pb de carte video il faudrait creer un autre sujet sur un forum adequate de zebulon... sinon ton PC est desormas propre. garde le dans cette etat !

Pour changer de navigateur et passer a Firefox: http://www.mozilla-europe.org/fr/products/ un tutorial ici: http://www.firefox.fr/tutoriel.htm NB: je n'utilise pas firefox donc je ne pourrais trop t'aider (j'utilise maxthon pour info) Salut, tout d'abord Télécharger et installer sous C:\ ): KillBox tu l'utilisera ensuite. ensuite, copier coller le texte ci-après dans le bloc note, enregistrer sous delete.bat sous c:\ Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only". Puis cocher les lignes suivantes (dans HijackThis): O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [MimBoot] C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe O4 - HKCU\..\Run: [updater] C:\Program Files\Carpe Diem\Oversexe_ejaculations[1]\CDUpdater.exe CD_UPDATER Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked » Lancer killbox.exe Cocher le bouton"Delete on Reboot " Coller la première ligne ci-dessous C:\Program Files\Carpe Diem\Oversexe_ejaculations[1]\CDUpdater.exe Cliquer sur la croix rouge « will be Deleted on Next Reboot » Répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier. Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage) double cliquer sur delete.bat Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés: Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...". Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés" Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK". En image ici et supprimer les fichiers ci dessous si ils sont présent : C:\Program Files\Carpe Diem\ C\temp\ <-- supprimer tout le contenu du dossier C:\windows\temp\ <-- supprimer tout le contenu du dossier C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier Fichier temporaire internet: Démarrer/panneau de configuration/options internet --> button supprimer cookies --> button supprimer fichier temporaire internet Fichiers temporaries : Démarrer/exécuter " CleanMgr " Cocher tout sauf : Compression des fichiers non utilisés Fichiers catalogue d’indexation du contenu / OK / OUI Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir: Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>. redémarrer normalement, Télécharge, installe, mets à jour et exécute cet utilitaire. http://www.ewido.net/en/download/ A la fin de son analyse, tu colles son rapport ici. Puis reviens mettre un rapport Hijackthis

Oublis les scan en ligne pour les anti spywares car il sont peu fiable a mon avis sinon tu as 3 logiciels gratuits antispy: Spybot, Adaware et MS antispyware encore en version beta je crois... juste pour info scan antispy internet explorer: http://www.checkspy.com/scan.asp http://www.pestscan.com/ juste pour info scan antispy avec Firefox: http://www.trendmicro.com/spyware-scan/ A+

Ben juste pour dire que je suis pas trop d'accord avec toi car le logiciel de M$ est basé sur celui de Microsoft vient d'annoncer le rachat de la firme "Giant Company Software" qui a l'époque était dans les meilleur du marché. Je pense que M$ en plus d'apporter la detection&deestruction de nouveaux spyware a aussi profité de l'occaz pour oter le nettoyage de ceux que M$ implante volontairement (ce que fait trés bien Spybot ou Adawre)... Un sondage auquel on peux "faire confiance" car il est réalisé par un site de reférence dans la lutte antispyware ( http://spywarewarrior.com/asw-test-guide.htm ) .Extractions & résultats simplifiés ici: http://lonewolf.joueb.com/news/7.shtml

Non je te le déconseil vivement. Par contre tu peux avoir des logiciel de scan autres que tu declancechera a ta guise. ex: Télécharger et lancer Escan Ancienne version qui permet de désinfecter automatiquement mais légèrement plus complexe a mettre en route (mettre a jour avant) : Escan 4.4.7 et voir impérativement son tutorial pour le lancement du scan ou la nouvelle qui ne propose plus le nettoyage automatique Escan dernière version .. (pour un scan complet) .. cocher la case "Drive" .. sélectionner le bouton-radio "Scan All Files" . cliquer sur le bouton "Scan Clean" (sous Action) Le scan dure un certain temps... efficace, eScan distingue plusieurs catégories dans les éléments douteux : .. "No action taken" pour des éléments qu'il reconnait finalement comme n'étant pas des virus .. "File renamed" pour des éléments douteux .. "File deleted" pour ceux qui ne méritent que çà ! La version gratuite ne supprimera pas les programmes potentiellement malicieux trouvés. et d'autres voir ma signature.

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only". Puis cocher les lignes suivantes (dans HijackThis): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ozsewdwsozamylx.com/khtxSNuMl5G...SWBxbEGAFy6.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rvzerhhkorufmgle.com/khtxSNuMl5...2dYQeomagL0.htm Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked » Redémarrer Ensuite c'est surpprenant que tu n'arrives pas a redemarrer en mode sans echec ! essais les 2 methode proposées ici: Mode sans echec instruction idem surprenant pour easycleaner ! si ces disfonctionnement persiste fait ceci: SFC : Vérificateur des fichiers Windows (System Files Checker) et réessais le mode sans echec et easycleaner... A suivre

Le si tu peux avait pour objeectif de te dire que tu continu le nettoyage mais en mode normal si pas de mode sans echec.... Donc oui pour ta question.

bah j'y connais rien mais ca m'a l'air bien

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only". Puis cocher les lignes suivantes (dans HijackThis): F0 - system.ini: Shell=Explorer.exe C:\windows\system32\msiexec16.exe F1 - win.ini: run=C:\windows\system32\msiexec16.exe O2 - BHO: (no name) - {6C4579D0-513E-1743-E72F-2826D6829F45} - C:\DOCUME~1\Famille\APPLIC~1\CLOSED~1\clockknob.exe O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE c:\windows\fsprof32.dll,_mainRD O4 - HKLM\..\Run: [Meow meta view size] C:\Documents and Settings\All Users\Application Data\for remote meow meta\PLAY JOY.exe O4 - HKLM\..\Run: [Kuyeopfe] C:\Program Files\Mxgb\Tvqj.exe O4 - HKLM\..\Run: [os4U36U] pipjmon.exe O4 - HKLM\..\Run: [Warn Hold 2 Open] C:\Documents and Settings\All Users\Application Data\Mags sect warn hold\copy dupe.exe O4 - HKCU\..\Run: [16 Long] C:\DOCUME~1\Famille\APPLIC~1\ATOMOP~1\mode extra readme.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_pao.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2045fc13650ded...RdxIE601_fr.cab O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/version2/w...en/AMClient.cab O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rCabInstall.cab O23 - Service: Norman ZANDA - Unknown owner - E:\MARION\logiciel 2\Nvc\BIN\Zanda.exe (file missing) Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked » Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage) si tu peux... Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés: Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...". Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés" Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK". En image ici et supprimer les fichiers ci dessous si ils sont présent : C:\windows\system32\msiexec16.exe c:\windows\fsprof32.dll C:\Program Files\Mxgb\ C:\Documents and Settings\All Users\Application Data\for remote meow meta\PLAY JOY.exe C:\Documents and Settings\All Users\Application Data\Mags sect warn hold\copy dupe.exe C:\DOCUME~1\Famille\APPLIC~1\CLOSED~1\clockknob.exe C:\DOCUME~1\Famille\APPLIC~1\ATOMOP~1\mode extra readme.exe C\temp\ <-- supprimer tout le contenu du dossier C:\windows\temp\ <-- supprimer tout le contenu du dossier C:\windows\Downloaded Program Files\ <-- supprimer tout le contenu du dossier C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier Fichier temporaire internet: Démarrer/panneau de configuration/options internet --> button supprimer cookies --> button supprimer fichier temporaire internet Fichiers temporaries : Démarrer/exécuter " CleanMgr " Cocher tout sauf : Compression des fichiers non utilisés Fichiers catalogue d’indexation du contenu / OK / OUI Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir: Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>. redémarer normalement vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, A2, Easycleaner(registre uniquement), et Ccleaner. Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail): http://www.ravantivirus.com/scan/ jusqu'à ce que "ready to scan" apparaisse cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg Tu cliques ensuite sur "scan my pc" (étape 3 de l'image) A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici Ou celui la PANDA si tu n'y arrive pas : tutorial Puis reviens mettre un rapport Hijackthis

Tien je vien de trouver ca vous connaissez ? ca marche comment ? Hotline is a protocol for intra- and Internet applications which allows you to chat, send messages, and transfer files with other Hotline users on a Hotline server. This does not mean it supports FTP, IRC, and NNTP., nor is it a plug-in for your web browser. Hotline is stand-alone application which uses its own communications protocol to communicate with a Hotline server. For more information about Hotline or if you want to download Pitbull Pro, the most advanced Hotline client, you can go to http://www.hotline-tools.com.com. source: http://hotline.tracker-tracker.com/public/...hp?ct=downloads

Salut, Ne peux tu pas mettre un rapport HJT en mode normal ?

Ok Jack_Burton personnellement je m'en doutais vu le nombre d'adepte de Firefox ,mais il aurait bien de le préciser dés le début car sinon l'on pourait douter de ton analyse analyse et peut etre qu'il souhaite conserver IE pour certains site...(donc antipopup utile) enfin bref ce n'est que mon avis. Sinon, comme d'hab tu fait du bon travail

Bah l'entre aide c'est fait pour ca au plaisir Pollux_63

le SP2 (si tu a une connexion 56Ko tu peux commander gratuitement le CD chez Microsoft) - Pack SP2

Salut a vous 2, Juste une remarque concerant: O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe qui pour moi n'as rien de enfaste ? simplement un logiciel antipopup...Donc je ne ferais pas fixer cette ligne ni supprimer le programme A+

Ok, tu était aussi infecté par hobar (bare de recherche de M...E) 1/vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, A2, Easycleaner(registre uniquement), et Ccleaner 2/recole un nouveau rapport de Ewido 3/Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail): http://www.ravantivirus.com/scan/ jusqu'à ce que "ready to scan" apparaisse cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg Tu cliques ensuite sur "scan my pc" (étape 3 de l'image) A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici Ou celui la PANDA si tu n'y arrive pas : tutorial 4/mettre un rapport Hijackthis A+