Jack_Burton

Bonjour titinnette, 1/ Démarre en mode sans échec 2/ Vérifie d'avoir accès à tous les fichiers 3/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows : -c:\windows\tmlpcert2005 4/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Patiente, on va finir par te répondre

Oui possible, mais avant essaye ce que te conseille megataupe C est plus rapide et cela peut nous donner de précieux renseignements sur ta connexion.

Adversaire

Bonsoir wonderwall, Je ne veux pas dire de bétises mais s il y a un "0" (zero) en fin de chaque ligne ca veut dire que ces lignes ne sont pas actives et donc inutiles en restrictions.

Bonsoir et bienvenu sur le forum sécurité de zebulon, Poste nous tout de meme ton rapport Hijackthis je te prie pour que nous puissions nous faire une idée.

J aurais peut etre une idée mais je ne suis pas sur du résultat. Tu pourrais reconfigurer ta connexion manuellement... En effet cette ligne 017 correspond a ton réseau ou a une connexion configurée manuellement. As tu un réseau au fait?

Ben demain, au boulot, profites en lorsque tu étrangleras le "crétin" en question a demander si votre entreprise utilise les services Transpac de Fance Telecom. Une fois que nous aurons la réponse, nous verrons beaucoup plus clair a cette histoire.

Oui et je ne comprends toujours pas pourquoi. Je viens de voir via google que cette ligne 017 n était pas inconnue. Sur tous les rapports ou elle apparait, il a suffit de la fixer pour qu elle n apparaisse plus Mais je ne désespere pas, nous finirons bien par l éradiquer

Ok, je vois un peu plus clair : -FAI 9 Telecom chez toi !!! -Transpac de Fance Telecom au boulot !!! Enfin j espere que c est bien ca. Tu pourrais te renseigner lorsque tu seras a ton boulot? Demande a ton boulot si le réseau utilise les services Transpac de Fance Telecom ?

Pourquoi as tu mis "résolu" a ton post? Nous n avons pas fini

Bonjour et bienvenu sur le forum sécurité de zebulon Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonsoir yoyo, N interfere pas la discussion concernant le probleme d un autre membre je te prie. Je vais te créer un post afin que l on puisse traiter ton probleme. Merci de ta compréhension. Ton probleme sera traité ici http://forum.zebulon.fr/index.php?showtopic=76683

Bonsoir a tous, Ci dessous le rapport de yoyo92 qui a placé son rapport dans la discussion d un autre membre.

Ton Pc est relié en réseau? C est un PC d entreprise?? Ou est ce juste un PC portable personnel? Ces lignes 017 m intriguent

Non je ne l ai pas. Cependant je tourne sur 2000 pas sur XP.

Re, Effectivement, la procédure a été un succes. Je ne vois plus rien d infectueux sur ton rapport. As tu bien accepté demandé l affichage de tous les fichiers?

Re bonsoir ipl Merci pour ces précisions Effectivement cela ne semble pas etre un fichier infecté d apres tout ce que j ai pu "trouver" sur le net. Sur aucun site, il a été demandé de supprimer ce fichier. Cela dit je pense qu a la fin de la procédure de désinfection il serait judicieux de le scanner pour en etre vraiment certain. Il ne vaut mieux etre prudent.

Bonjour, Bon, ton dernier rapport est propre. Fixe encore cette ligne : O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe Merci , je ne le savais pas. Hier j ai demandé a un autre membre de s en servir, et elle a eu aussi un probleme avec. Maintenant je sais pourquoi. Cela peut avoir plusieurs origines. Cela peut etre le serveur du site qui est saturé donc tes téléchargements sont lents. As tu essayé de voir sur un autre site? Je suppose que oui mais je te pose tout de meme la question. Je vois que tu utilises ZoneAlarm, essayes de le configurer avec le tutorial de Tesgaz. Quel est ton modem? Télécharge et installe Ewido et scanne ton PC. A la fin colle moi le rapport Ewido je te prie Edit : je dois m absenter, je vous souhaite a tous une tres bonne apres midi, a tout a l heure.

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Service: Win32 Configuration (Windows Manage) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ruby-eye.com/~bean/beanoo/index.html O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\ELITET~1.DLL O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Microsoft Update Machine] scvhost.exe O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [WIN USB 2.0] winusb.exe O4 - HKCU\..\Run: [sysprocessor Update] sysprocessor.exe O4 - HKCU\..\Run: [Microsoft Windows Update] mwupdate.exe O4 - HKCU\..\Run: [sysino] lsess.exe O4 - HKCU\..\Run: [Microsoft Secure Messenger.NET Service] securitychk.exe O4 - HKCU\..\Run: [system Startup] kimochi.exe O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe O4 - HKCU\..\RunOnce: [sysino] lsess.exe O4 - HKCU\..\RunOnce: [Microsoft Secure Messenger.NET Service] securitychk.exe O4 - HKCU\..\RunOnce: [Win32 NVIDIA Driver] MSPMSPSU.EXE O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe O4 - HKCU\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYes.../bridge-c18.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.8.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O23 - Service: Win32 Configuration (Windows Manage) - Unknown owner - C:\WINDOWS\System32\videosd32.exe" -netsvcs (file missing)<--- il est possible qu elle n apparaisse plus du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\ELITET~1.DLL -C:\WINDOWS\System32\videosd32.exe -scvhost.exe -winusb.exe -sysprocessor.exe -mwupdate.exe <--- ce n est absolument pas un fichier légitime (voir ici) -lsess.exe -securitychk.exe -kimochi.exe -MSPMSPSU.EXE -sys32snd.exe<--- Concercant ces 9 fichiers, ils sont probablement dans C:\Windows ou C:\Windows\System32, utilises l option recherchée de windows pour les trouver 7/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKCU\Software\Microsoft\Windows\CurrentVersion\Run -[Microsoft Update Machine] scvhost.exe <--- supprime si présent -[Win32 Configuration] videosd32.exe<--- supprime si présent -[WIN USB 2.0] winusb.exe<--- supprime si présent -[sysprocessor Update] sysprocessor.exe<--- supprime si présent -[Microsoft Windows Update] mwupdate.exe<--- supprime si présent -[sysino] lsess.exe<--- supprime si présent -[Microsoft Secure Messenger.NET Service] securitychk.exe<--- supprime si présent -[system Startup] kimochi.exe<--- supprime si présent -[Win32 NVIDIA Driver] MSPMSPSU.EXE<--- supprime si présent -[Win32 USB2 Driver] sys32snd.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce -[Win32 Configuration] videosd32.exe<--- supprime si présent -[sysino] lsess.exe<--- supprime si présent -[Microsoft Secure Messenger.NET Service] securitychk.exe<--- supprime si présent -[Win32 NVIDIA Driver] MSPMSPSU.EXE<--- supprime si présent -[Win32 USB2 Driver] sys32snd.exe<--- supprime si présent Ferme ensuite le registre. 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : O4 - HKCU\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe<--- concernant ce fichier, je n y touche pas encore, lorsque le reste sera propre, je te le ferais analyser par le viruscan de jotti. D apres mes recherches il ne semble pas infectueux... 2eme Edit : je ne vois aucun firewall sur ton rapport, c est pour cela que ton pc est tres infecté.

Bonjour, Jolie infection J analyse ton rapport, réponse dans un moment

Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour et bienvenu sur le forum sécurité de zebulon, Je te crée un nouveau post concernant ton probleme pour ne pas interférer sur le sujet de kukrapok. On continuera la discussion ici : http://forum.zebulon.fr/index.php?showtopic=76651

Voici le rapport de MF-DeNice J ai crée un nouveau sujet car il avait posté dans un ancien post d un autre membre du forum. ---j'ai édité le post de manière à récupérer les smileys et le lien correspondant à la copie d'écran (ipl_001)---

Re, Bon sur ton dernier rapport les saletés sont parties, mais je m interroge encore sur tes lignes 017. Tu as quel FAI?? issas? ou lsass? ou alors lssas?? S il te plait tache de faire attention a l orthographe car cela peut nous mettre sur de mauvaises voies du fait de la similitude des noms de fichiers, qui peuvent d une lettre a l autre etre identifié en virus ou en fichier légitime

Bonjour, Si tu penses etre infecté, applique la procédure préliminaire je te prie : Edit : ne poste pas différents messages pour un probleme similaire car sinon on ne s en sort pas et on risque de faire des doublons d analyse. Tu avais en effet déja ouvert un sujet ici http://forum.zebulon.fr/index.php?showtopic=76643