Jack_Burton

Bonsoir et bienvenu sur le forum sécurité de zebulon, Pour commencer, je t invite a suivre la procédure préliminaire :

Sujet doublon : http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry727758 Merci a la modération de regrouper les 2 discussions

Bonsoir et bienvenu sur le forum sécurité de zebulon, 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode normal que tu posteras aussi. tu aurais du poster sur la 1ere discussion http://forum.zebulon.fr/index.php?showtopi...61entry726761 D ailleurs, je t avais indiqué la suite de la procédure

Bonsoir, Le rapport est incomplet. Il manque notamment les lignes 023. Peux tu me reposter un nouveau rapport stp Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

Bonjour et bienvenu sur le forum sécurité de zebulon, Je t invite a appliquer dans un premier temps notre procédure préliminaire :

Bonjour, Le rapport est propre. As tu encore des dysfonctionnements?

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. Désactives la protection en temps réel du logiciel Ewido car il risque de bloquer les corrections dans la base de registre 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - D:\WINDOWS\system32\mscfg.dll O4 - HKLM\..\Run: [Operating System] system.exe O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w O4 - HKLM\..\RunServices: [Operating System] system.exe O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -D:\WINDOWS\system32\mscfg.dll -D:\WINDOWS\system32\nvsvcd.exe -D:\WINDOWS\system\smss.exe <=== ne pas confondre avec le fichier légitime du meme nom se situant dans le dossier D:\WINDOWS\System32 -system.exe -wininit.exe -sys64mnger.exe ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Operating System] system.exe<--- supprime cette sous-clef si présente [Microsoft Update 32] wininit.exe<--- supprime cette sous-clef si présente *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Operating System] system.exe<--- supprime cette sous-clef si présente [sysmngr32] sys64mnger.exe<--- supprime cette sous-clef si présente [Microsoft Update 32] wininit.exe<--- supprime cette sous-clef si présente *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [sysmngr32] sys64mnger.exe<--- supprime cette sous-clef si présente Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Bonsoir, Bonsoir Bruce et merci Je démarre une analyse de ce rapport, réponse dans un moment

Ok, Voila ce que tu feras demain : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer Bonne nuit, PS : n oublie pas d installer un firewall si tu n en as pas. C est indispensable.

Content que ton probleme soit réglé. Bonne soirée

Re bonsoir, Le nouveau rapport est propre. As tu encore des dysfonctionnements? Ton rapport ne montre aucune trace de parfeu (firewall). C est pourtant indispensable pour assurer sa protection sur le net. Si tu n en as pas, installes en un. Tu en trouveras 3 gratuits et efficaces dans "les consignes de sécurité" en bas pres de ma signature.

Bonsoir, Ton rapport montre des signes d infection. Voila ce que tu vas faire dans un premier temps : 1/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: - Windows Log Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 2/ Applique la procédure préliminaire :

Re bonsoir, Synthexe t a déja répondu! Il faut que tu appliques la procédure préliminaire :

C est peut etre un probleme de surchauffe. Dans le doute, je vais te faire scanner ton systeme avec Ewido (mais je ne pense pas que ton probleme vienne d une infection) : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -Windows Log Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\system32\mscfg.dll -C:\WINDOWS\system\smss.exe <=== Ne pas confondre avec le fichier légitime du meme nom qui se trouve dans C:\WINDOWS\system32 -C:\WINDOWS\system32\nvsvcd.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir et bienvenu sur le forum sécurité de zebulon, Je démarre une analyse de ton rapport. Celui-montre des signes d infection. Réponse dans un moment!

Salut, Un petit "bonjour/bonsoir" en début de post c est toujours apprécié, surtout pour la personne qui va prendre le temps de te dépanner! Applique dans un 1er temps la procédure préliminaire : Ensuite fais ceci : 1/Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode normal que tu posteras aussi.

Bonsoir, Ce rapport est propre. Tu peux néanmoins fixer quelques lignes inutiles pour optimiser : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload185a.exe O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab Pourquoi as tu posté un rapport hijackthis? As tu des dysfonctionnements particuliers?

Bonsoir a tous, bonsoir synthexe Moi je dirais pour une infection A priori oui

Bonsoir, Voici comment procéder pour passer en NTFS : Avant de convertir quoi que ce soit, il est fortement recommandé de defragmenter le disque dur ! Aller dans démarrer> exécuter> tapez "cmd". Ensuite tapez ce qui suit : convert lettre_du_lecteur: /fs:ntfs Comme par exemple : convert C: /fs:ntfs 2 secondes de recherche sur google aurait pu suffire...

Bonsoir a tous, bonsoir Tesgaz, Et ton firewall smoothwall?

Bonsoir et bienvenu sur le forum sécurité de zebulon, Je confirme, tu es bien infecté! Je t invite a appliquer dans un premier temps notre procédure préliminaire puis de poster le rapport qui en découle a la suite de cette discussion :

Bonsoir, Tu as posté ton message dans le mauvais sous-forum! Je t invite a suivre la procédure préliminaire puis de poster le rapport qui en découle sur ce forum.

Salut, Non il n est pas propre! Le fichier légitime csrss.exe doit se trouver dans system32 et non pas a cet emplacement! Je te laisse faire la suite synthexe! Bonne chance

Bonsoir, Oui tu peux, mais celle-ci fonctionnera en PC2700! Ma 1ere réponse répond aux 2 suivantes! J ai la meme carte mere que toi et j ai mélangé de la PC2700 a de la 3200!