Jack_Burton

Bonjour tonton12 et bienvenu sur le forum sécurité de zebulon Ton pc est infecté, applique la procédure préliminaire je te prie :

Re, ton rapport ne montre plus rien d infectueux mais suis tout de meme la procédure ci-dessous pour une petite optimisation necessaire!! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désactive le TeaTimer de Spybot, il peut gêner les corrections. Tu le réactiveras a la fin de la procédure! 5/ Désinstalle via "panneau de configuration/supression de programmes" le logiciel suivant si présent : - MessengerPlus3<--- apparamment tu l avais déja désinstallé mais il en reste des traces ! 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Médéa DEGBE-Internet Explorer R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background 6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.plentyoffish.com O15 - Trusted Zone: http://www.radio-canada.ca O15 - Trusted Zone: http://www.radio-canada.com O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {21C6245C-9408-11D7-BF3B-00E09876DF26} (WebTrain.ctlWebTrain) - http://www.webtrain.com/cabinet/wt0809.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096680174843 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\Program Files\MessengerPlus!<--- supprime le dossier si présent 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKCU\Software\Microsoft\Windows\CurrentVersion\Run -[MessengerPlus3] "\" /WinStart<--- supprime si présent Ferme ensuite le registre. 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : tu as 3 antivirus qui tournent en tache de fond : Avast, Norton et Antivir, c est beaucoup trop, tu dois en désinstaller 2 !!

Bonjour medeacesar, J analyse ton rapport, réponse dans un moment

Bonjour, O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe<---- il s agit d un processus qui concerne tes périphériques Bluetooth. Il facilite l acces au logiciel gérant la configuration de tes périphériques Bluetooth. Oui tu peux la fixer si tu le désires! O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto<---Msconfig est un utilitaire de windows qui permet d'extraire des fichiers, d'activer ou désactiver des services et des éléments de démarrage. Msconfig permet également de dépanner votre système et d'augmenter ses performances. Tu peux également fixer! O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe<---- service lié a ta carte graphique ATI, recommandé a conserver pour le démarrage du systeme. Je ne l ai jamais utilisé, je suis sur 2000, et Bootvis ne fonctionne que sur XP donc je ne peux te dire ce que j en pense.

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Windows Updates Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = D:\Program Files\Copernic Agent\Web\SearchBar.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aim.aol.fr/univers/index.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:0 O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0740172edd532e...RdxIE601_fr.cab O23 - Service: Windows Updates - Unknown owner - D:\WINDOWS\windowsupdates.exe<--- il est possible que cette ligne n apparaisse pas du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows : -D:\WINDOWS\windowsupdates.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : bonne nuit a tous

Bonsoir fraggy et bienvenu sur le forum sécurité de zebulon J analyse ton rapport (le dernier de la soirée car je commence a m endormir ) Réponse dans un moment

Bonsoir megataupe Ben ca va nous faire des rapports hijackthis en plus a analyser

Bonsoir, Pour le moment tu peux commencer a fixer ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129400362486 On peut optimiser davantage ton systeme . Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Si tu veux optimiser : Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Ati HotKey Poller Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Puis fixe ces lignes : O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Bonsoir guy278, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ *Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -WAN Miniport (ATW) Service (WANMiniportService) -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. * HijackThis -> Open the misc tools section -> Open Process Manager -Sélectionne: C:\WINDOWS\System32\FTRTSVC.exe -> clique Kill Process. -Cliques sur Back puis Scan... et coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redi...se=6&key=SEARCH R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852" O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<--- il est tres probable que ces lignes n apparaissent plus du fait que l on a stoppé les services Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\wanmpsvc.exe 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : je tiens a te signaler que sur ce rapport apparaissent des services AOL et des processus wanadoo. Quel est ton Fournisseur d Acces a Internet?? AOL ou Wanadoo? Une fois que tu auras répondu a cela, je te ferais supprimer les fichiers/dossiers qui ne sont plus nécessaires! J ai remanié la procédure pour supprimer le service AOL puisque ton ami est sur wanadoo!

Bonsoir trader14, Habituellement il faut suivre la procédure préliminaire avant l analyse d un rapport hijackthis mais comme il ne s agit pas de ton systeme, je vais analyser ton rapport immédiatement. Laisse moi un petit moment je te prie! C est pas avec un rapport hijackthis qu on peut voir si une piece est défectueuse ou pas!!

Bonsoir velomania49 Ewido a bien travaillé !! Il t a supprimé les cookies et également les restes de BHO hostiles Peux tu poster un nouveau rapport hijackthis stp? As tu toujours ces problemes?

Bonsoir megataupe Bonsoir lgx76 Comme te l a dit megataupe, on ne peut pas vraiment savoir comment tu as attrapé cette saleté néanmoins nous pouvons te dire comment s en protéger : A cela j ajoute qu il est fortement conseillé d abandonner Internet Explorer pour un navigateur alternatif tel que Firefox. Pourquoi passer sur Firefox (ou Opera) et abandonner IE? Tout simplement parce que IE n est pas conforme aux standards du W3C, ils gerent ces funestes ActiveX, souvent porteuses d infections virales, il ne propose pas la navigation par onglets si pratique, il n integre pas d anti popups en interne. Pour toutes ces raisons je te conseille de passer sur Firefox que tu peux davantage sécuriser avec les conseils de megataupe

Bonsoir m4tboy, Mise a part des lignes inutiles je ne vois rien d infectueux sur ton rapport... Tu peux essayer de réparer ton systeme en mettant ton cd xp et booter avec, et réparer la partition windows, il remettra les fichiers manquants!

Bonsoir et bienvenur sur le forum sécurité de zebulon Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Relis mon 1er post et tu en trouveras 3 http://forum.zebulon.fr/index.php?showtopi...ndpost&p=589032 Si tu as Firefox installes donc Adblock, relis une nouvelle fois mon 1er post concernant les conseils de megataupe pour sécuriser davantage Firefox!!

C est parfait alors Si tu vois qu il n y a aucun probleme, que le dossier C:\WINDOWS\ServicePackfiles n est jamais solicité tu pourras a terme le supprimer completement !!

ok, c est parfait!! Maintenant suis le conseil de megataupe, renomme le dossier C:\WINDOWS\ServicePackfiles pour vérifier s il est vraiment indispensable!! A part ca, as-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Bonjour a tous, bonjour ben...07 & angelique Il est vrai Kapersky est un bon produit cependant je ne te conseille pas de prendre les différents tests que l on trouve pour argent comptant! Les résultats varient d un comparatif a l autre et certains sont truqués ou "achetés" afin de faire promouvoir des antivirus! Dans tout les cas, je te conseille fortement de suivre le conseil d angelique!! Suis la procédure préliminaire et poste ton rapport dans le forum sécurité

Re bonjour, Jamais eu ce probleme avec BeClean!! Quel est le nom de ce fichier et a quel endroit se situe t il?

Ben fais le !!!

Re bonjour, re bonjour Sive & megataupe Sive, je suis du meme avis que megataupe, suis son conseil pour le moment, ce dossier semble légitime. La question que je me pose a présent : est il vraiment nécessaire? Pour le moment renomme le comme te l as suggéré megataupe!! Renomme le en ServicePackfiles.anc (clic droit sur le nom du fichier / renommer). Au fait as tu supprimé C:\ddf1bbf5d2545b1a16d0b7925543e0ea?

Bonjour Sacles, Ca doit etre un cas particulier malheureux en effet! J ai testé une grande quantité d antivirus,de firewall et autres logiciels de sécurité, et notamment le firewall & l antivirus de Kapersky et je n ai pas eu ce probleme! Cela dit, je passe par TotalUninstall pour les logiciels que je teste..

Re Size Tu peux supprimer le dossier C:\ddf1bbf5d2545b1a16d0b7925543e0ea !! Il n est pas en cours d utilisation, Megataupe le trouve également douteux donc poubelle!! Concernant le 2eme fichier smss.exe dans C:\WINDOWS\ServicePackfiles\i386 réponse dans un moment Edit : megataupe qui est sur XP Home n a pas ce dossier C:\WINDOWS\ServicePackfiles Chez lui le dossier i386 se trouve dans C:\windows\drivers cache. Il en est de meme pour moi!! Regarde si tu as un dossier i386 dans C:\windows\driver cache!! N oublie pas de supprimer C:\ddf1bbf5d2545b1a16d0b7925543e0ea

Ok, ca veut dire qu il n est pas en cours d utilisation!! hum, je sens vraiment qu il est inutile.. Atends un peu encore, j ai envoyé un MP a Megataupe, j attends son avis, il est toujours de tres bon conseil, une fois qu il m aura répondu je te diras quoi faire! Concernant l autre fichier smss qui se trouve ici C:\WINDOWS\ServicePackfiles\i386, je me renseigne également!! Moi je n en ai qu un seul dans le dossier system32!!