Pollux_63

ok pas de problème. je serai là. Bonne soirée à toi aussi. @ demain

oui, ZA free est trés bon firewall. c'est celui que j'utilise et j'en suis très content! il va bien surtout pour quelqu'un qui ne veut pas s'arracher les cheveux à le parametrer. il est très facile d'accès.

salut. Content que ton problème soit résolu. (merci Bipbip ) Avant de partir quelques conseils de sécurité: Pour en savoir plus, consulte la page de ipl_001 http://gerard.melone.free.fr/IT/IT-AM0.html Tu dois également installer les outils suivants: -Un pare-feu Kerio Zone Alarm -SpywareBlaster: -Ad-awareSE -SpyBot-Search & Destroy -ZebProtect Auteur: queruak

On va l'avoir!!! Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec un nouveau rapport HJT

re, Après avoir installé Zone Alarm (ZA).(voir mon dernier post) - télécharge CWShredder: http://cwshredder.net/bin/CWShredder.exe - redémarre en mode sans échec - Exécute CWShredder, fix - fixes les lignes suivantes dans HJT (si elles existent): O2 - BHO: Class - {907B55AA-EFD4-7FFC-2B65-F6817EFA2EE5} - C:\WINDOWS\system32\appei.dll O2 - BHO: Class - {D1A35940-7FA5-46BB-81C4-D61A46262B92} - C:\WINDOWS\system32\javali32.dll O4 - HKLM\..\RunOnce: [apirc.exe] C:\WINDOWS\system32\apirc.exe O4 - HKLM\..\RunOnce: [d3pc32.exe] C:\WINDOWS\system32\d3pc32.exe - Supprime ces fichiers si tu les trouves: - C:\WINDOWS\system32\appei.dll <-- le fichier - C:\WINDOWS\system32\javali32.dll <-- le fichier - C:\WINDOWS\system32\apirc.exe <-- le fichier - C:\WINDOWS\system32\d3pc32.exe <-- le fichier - poste s'il te plait, un nouveau rapport HJT fait en mode sans échec

Effectivement. je suis entrain de chercher, je te tiens au courant. Ne t'inquiète pas je t'abandonne pas J'ai l'impression que chaque fois que tu reviens ya quelquechose de nouveau!?! En attendant, stp installe un pare-feu, car je n'en vois pas: ZA: http://www.zonelabs.com/store/content/cata...g=fr&lid=nav_za paramétrage: http://speedweb1.free.fr/frames2.php?page=tuto1#firewall

re mike80. Où en es-tu? As-tu exécuter HSRemove? (Si quand tu démarre en mode sans échec le service que je te demande de désactivé l'est déja, tant mieux. Exécute HSRemove)

re, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ télécharge sphjfix: http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix 3/ Désintalles ces programmes par le panneau de configuration: - Talkway (sauf si installé volontairement) 4/- installer SpHjfix dans un répertoire dédié - lancer SpHjfix - cliquer sur le bouton "start disinfection" ou "Desinfektion starten" - en cas d'infection, l'ordinateur est redémarré 5/ Redémarre en mode sans échec. 6/ Vérifie d'avoir accès à tous les fichiers 7/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (il se peut que certaines n'apparaissent plus du fait du nettoyage déja effectué): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {2A63B26F-E701-4AF1-B4C2-537938017618} - C:\WINDOWS\System32\eefp.dll (file missing) O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe" O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\DEBAUS~1\LOCALS~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\OLYMPUS\DeviceDetector\DevDtct2.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01f0b2d116acad...RdxIE601_fr.cab O18 - Filter: text/html - {433D17AB-EC48-481A-B018-E27D153CBA5B} - C:\WINDOWS\System32\eefp.dll O18 - Filter: text/plain - {433D17AB-EC48-481A-B018-E27D153CBA5B} - C:\WINDOWS\System32\eefp.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 8/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows : - C:\Program Files\Fichiers communs\Talkway <-- le dossier - C:\WINDOWS\System32\eefp.dll <-- le fichier 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis (fait en mode sans échec) à titre de vérification.

Salut. Je regarde ton rapport. Réponse dans 20/25 minutes.

Désolé, je me suis mélangé un peu les pinceaux. désactivation du service: Workstation NetLogon Service

1/telecharge HSRemove: http://www.hsremove.com/ ou http://www.majorgeeks.com/download4286.html 2/ démarrer en mode sans échec 3/ démarrer / Exécuter / taper services.msc et cliquer sur OK / double-cliquer, stopper, désactiver "Network Security Service" et noter le chemin de "Chemin d'accès des fichiers exécutables" 4/ lancer HSremove. 5/ Cocher ces lignes dans HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [addiy.exe] C:\WINDOWS\addiy.exe 6/ supprime: - C:\WINDOWS\addiy.exe <-- le fichier 7/ reposte un rapport HJT pour vérification

salut. je regarde ton rapport, réponse dans quelques instants.

rebonjour (imprime ou sauvegarde ces instructions dans un fichier *.txt de façon a pouvoir les consultées en mode sans échec) 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Désintalles ces programmes par le panneau de configuration (si tu les trouves): - MyWebSearch - NavExcel - P2P Networking (sans aucun doute la cause de tous tes problèmes) 3/ Redémarre en mode sans échec. 4/ Vérifie d'avoir accès à tous les fichiers 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [bg677h5u] C:\WINDOWS\system32\bg677h5u.exe O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitewaw32.exe O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\system32\france.exe -N O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [system service63] C:\WINDOWS\etb\pokapoka63.exe O4 - HKLM\..\Run: [system service65] C:\WINDOWS\etb\pokapoka63.exe O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: &Search - [kx.bar.need2find.com] O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - [idn.verisign-grs.com] (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: teleir_cert - [static.ir.dgi.minefi.gouv.fr] O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - [messenger.zone.msn.com] O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - [ak.imgfarm.com] O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - [a840.g.akamai.net] O16 - DPF: {7B804666-6A0B-4ADE-9DD8-356FCA06C509} - [www.gedlink.com] O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - [messenger.zone.msn.com] Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows : - C:\Program Files\NavExcel <-- le dossier - C:\windows\system32\elitewaw32.exe <-- le fichier - C:\WINDOWS\system32\france.exe <-- le fichier - C:\PROGRA~1\MYWEBS~1 <-- le dossier - C:\WINDOWS\system32\P2P Networking <-- le dossier - C:\WINDOWS\etb\pokapoka63.exe <-- le fichier - C:\WINDOWS\etb\pokapoka63.exe <-- le fichier 7/ renomme le fichier suivant (il m'est inconnu, et je ne veux pas le perdre, juste le rendre inactif. si tout va bien dans quelques jours tu pourra l'effacer): - C:\WINDOWS\system32\bg677h5u.exe à renommer en bg677h5u-exe.anc 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis (fais en mode sans échec) à titre de vérification.

Salut. Bienvenu sur zeb'sécu. Je regarde ton rapport. Réponse dans 20/25 minutes

salut. oui, s'il te plait applique la procédure de stonangel en entier. (Juste au cas où).

J'aime bien la présentation que tu proposes ipl. Je n'avais pas pensé à ce style de présentation. Je l'imaginais seulement avec les liens complets, ce qui la rendait forcément surchargée, illisible. Et oui, je n'avais pas pensé non plus à ce "détail": tous ceux qui ne s'incrivent pas sur le forum. Détail qui a son importance. correction faite, je pense qu'on peut essayé de retravaillé la procédure dans ce sens, sans l'alourdir. Bonne nuit à tous. A demain.

Bonsoir tout le monde. ok,l'idée de départ de Beebop est interessante. Mais n'avez vous pas peur de surcharger la procédure avec de nouveaux liens? De la rendre un peu trop imposante pour un internaute débutant? Imaginez le néophite derrière son écran, il se sent déja "perdu" à cause de ce qui lui arrive, et on lui colle une procédure avec 50 liens à suivre, il ne va plus savoir où donner de la tête (entre les videos, ce qu'il peut imprimer ou pas)!! Faire deux procédures différentes (1 pour les initiés et 1 pour les néophites par exemple)? A mon avis c'est ingérable. Voila comment j'imagine la chose: - un nouveau membre expose son problème sur le forum - un membre plus expérimenté arrive et demande: "quel est ton niveau informatique? car en fonction de ta réponse la proédure ne sera pas la même" - ... Aujourd'hui est-ce que la procédure pré-HijackThis est difficile à mettre en oeuvre? Y a-t'il beaucoup dedébutants qui n'arrivent pas à dérouler cette même procédure? Et quand bien même, il bloque sur un point (rare sont les fois où ça arrive, non?), que fait-il? Il revient sur le forum et pose sa question. On lui répond et de ce fait cela le responsabilise un peu plus, il met les mains dans le cambouis pour reprendre l'expression de magataupe, et je ne pense pas que ça lui fasse du mal.

Grand merci pour ce magnifique lien, et le voila dans dans mes bookmarks. @+

Salut charles. Tu as l'oeil du tigre! toi, tu as l'intention de savoir que tu existe (J-C V). Dsl, ok ok je sors.

non ce n'est pas la peine, puisque fixer la ligne avec HJT à le même effet. (a savoir éviter le chargement de acrobat reader au démarrage windows). et voilà

re, le problème n'est pas là!! On ne veut pas savoir ce que tu fais avec !Le P2P n'apporte que des soucis. si tu fais le tour des différents posts sur zeb'sécu, tu pourra t'apercevoir qu'un grand nombre de membres ayant des problèmes est adepte d'emule et consors. edit: LOL megataupe.

Salut. effectivement tu peux fixer ces lignes: O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll

Bonsoir Mike, tous. oui, et il n'y pas pire comme comportement à risque!! une majorité des virus véhicule par ce moyen!! un peu de lecture en plus: http://forum.zebulon.fr/index.php?showtopic=66888

re, en fait les screen shot existent dèja!! et les liens y amenant sont présent dans la procédure. Explications d'antivir: http://speedweb1.free.fr/frames2.php?page=tuto5 l'explication faite par Tesgaz est suffisament fournie en captures d'écran. il en est de même pour le tuto de Bipbip07 sur l'utilisation de HijackThis: http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Salut. un peu de lecture: http://speedweb1.free.fr/frames2.php?page=reseau4 en espérant que cela t'aide.