Jack_Burton

Bonsoir et bienvenu sur le forum sécurité de zebulon. Si tu penses etre infecté, applique cette procédure préliminaire je te prie :

Bonsoir, Je ne vois plus rien d infectueux dans ton rapport. As-tu toujours des dysfonctionnements ?

Garou

Normalement Firefox conserve un fichier bookmarks.bak(bak=backup=sauvegarde) dans ce dossier C:\Documents and Settings\nom de l utilisateur\Application Data\Mozilla\Firefox\Profiles\tpvkh51a.default Si tu as bien un fichier bookmarks.bak renomme le en bookmarks. Si tu n as plus aucun logiciel Symantec tu peux tout virer. Néanmoins, Morton est un grand coquin, il aime bien rester planté la ou il n est plus convié, il est difficile de s en débarrasser. Tu peux donc utiliser le tutorial de Tesgaz afin de t en débarrasser définitivement.

Bonjour et bienvenu sur le forum sécurité de zebulon. Ce n est pas normal, cela semble cacher une infection de spywares et autres malwares. Je te suggere d appliquer la procédure préliminaire :

Salut et bienvenu sur le forum sécurité de zebulon Tu es infecté, notamment par YourSiteBar. Applique la procédure préliminaire je te prie :

Bonsoir, Je ne vois plus rien d infecteux sur ton rapport. C est assez étrange effectivement, aucune ligne fixée était liée a Firefox. Les marques pages de Firefox sont enregistrés dans un fichier bookmarks dans C:\Documents and Settings\nom de l utilisateur\Application Data\Mozilla\Firefox\Profiles\tpvkh51a.default Cela ne vient donc pas de la procédure.

Re, Ce n est en aucun cas un virus. Désactive Norton le temps de la procédure préliminaire.

Salut, Si tu penses que ton PC est infecté, applique la procédure préliminaire je te prie :

Salut, Si tu penses que ton PC est infecté, applique la procédure préliminaire je te prie :

Re, OPTIMISATION DU SYSTEME 1/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Kodak Camera Connection Software<--- service de sa caméra, s il s en sert souvent inutile de le désactiver. Si l arrete le service il devra le reactiver manuellement lorsqu il se servira de sa camera. -TuneUp WinStyler Theme Service Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Je ne t arrete pas le service lié a son imprimante, ca peut lui etre utile Il peut fixer ces lignes : O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = E:\Fichier Installation\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\Fichier Installation\IncrediMail\bin\resources\WebMenuImg.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Fichier Installation\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121982458640 Ensuite je lui conseille d installer un navigateur alternatif s il utilise Internet Explorer. Je lui conseille Firefox qu il pourra davantage sécuriser avec les conseils de megataupe. S il opte pour Firefox (ou Opera), il pourra désinstaller la Yahoo! Companion puisque Firefox intègre ces fonctions en interne. S il fait cela il pourra fixer ces lignes supplémentaires : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/help.asp?page=n...don=IncrediMail R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Fichier Installation\ActiveX\AcroIEHelper.dll R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

Salut, Il n y a rien d infecteux sur ton rapport. Oui il y a bien quelques lignes inutiles comme celles ci : O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe" O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab Concernant ton probleme, pourquoi n essayes tu pas mon conseil :

arretez, vous me donner faim

Ok, j ai compris Cependant ton systeme est infecté donc je t énonce tout de meme une procédure de désinfection : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent : CoralEurobetPoker 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : 0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: Coral Eurobet Poker - {050AC5CD-E1E1-41ab-8CE0-61B56EFA7FA1} - C:\Program Files\CoralEurobetPoker\coraleurobetpoker.exe (file missing) O9 - Extra 'Tools' menuitem: Coral Eurobet Poker - {050AC5CD-E1E1-41ab-8CE0-61B56EFA7FA1} - C:\Program Files\CoralEurobetPoker\coraleurobetpoker.exe (file missing) O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{01108243-98D7-42EC-8A47-77F75AC1E9DF}: NameServer = 69.50.177.204,85.255.112.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{312A391C-BA45-4EB6-942B-79AECEAF88FF}: NameServer = 69.50.177.204,85.255.112.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{7103B0CC-59C0-496F-A304-8EA6044C84B8}: NameServer = 69.50.177.204,85.255.112.25 O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EEFB18-6C2A-4832-96C4-C00D3869BC3F}: NameServer = 69.50.177.204 85.255.112.25 O17 - HKLM\System\CS1\Services\Tcpip\..\{01108243-98D7-42EC-8A47-77F75AC1E9DF}: NameServer = 69.50.177.204,85.255.112.25 O17 - HKLM\System\CS2\Services\Tcpip\..\{01108243-98D7-42EC-8A47-77F75AC1E9DF}: NameServer = 69.50.177.204,85.255.112.25 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\WINDOWS\System32\yaemu.exe -C:\Program Files\CoralEurobetPoker<--- supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour a tous Une fausse barre Google serait sur le "marché". Elle procéderait à des arnaques par méthode de phishing. Pour en savoir plus cliquez ici Source : clubic.com

Ben oui c est plutot normal alors que tu ne puisses pas avoir les mises a jour. Le "crack" est interdit sur les forum zebulon. Voir la charte zebulonienne. Ben ca changera rien si tu réinstalles la version pirate, meme en formatant tu ne pourras pas mettre les MAJ de windows. Réinstalle donc ta version (légale?) de XP familiale (de toute façon, je doute que tu ais vraiment besoin des "plus" de la version Pro) Cependant je peux tout de meme t aider a désinfecter ton systeme si tu le désires.

Bonjour a tous Je dit alors discrimination

Ok, j attends ton rapport !! Est ce toi qui a installé ce programme Coral Eurobet Poker ??

Salut Ton PC n est pas du tout a jour !! As tu appliqué la procédure préliminaire suivante ? Une fois cette procédure appliquée j analyserai ton rapport. Je viens de regarder vite fait ton rapport tu es infecté!

Bonjour; Je ne vois rien d infectueux mis a part quelques lignes superflues. Tu peux encore fixer ces lignes sans risques : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ Je te conseille également de désinstaller la GoogleToolbar qui ne te sert a rien car tu utilises Avant Browser et que toutes les fonctions de la GoogleToolbar sont déja intégrées dans ce navigateur. Désinstalle la via "panneau de configuration/supression de programmes". Ensuite supprime le dossier suivant :C:\Program Files\Google Ensuite tu pourras fixer toutes les lignes concernant Googletoolbar si elles sont toujours présentes : O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html Un peu d optimisation ne fait jamais de mal

Salut kevin76, On peut optimiser ce systeme . Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Si ton ami veut optimiser son systeme, je te ferais fixer quelques lignes. Pour le moment tu peux fixer celles ci : R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/help.asp?page=n...don=IncrediMail O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121982458640 Désire t il optimiser davantage son systeme en sachant ce que j ai dit au début du post? Si c est le cas je lui ferais fixer d autres lignes.

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing) O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\Program Files\RXToolBar<---- supprime tout le dossier 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Salut Inesntes J analyse ton rapport, réponse dans un moment Pense a mettre Hijackthis a un autre endroit, n importe ou mais pas dans un dossier TEMP.

Bonjour a tous, bonjour megataupe, Charly & peio64 Apparemment delus.exe est un backdoor/trojan (voir ici). De toute facon un tel fichier n a aucune raison d etre dans un dossier TEMP donc je suggere de le suppimer sans se poser de question.

Nous avons tout notre temps. Si demain soir je ne suis pas la un autre membre prendra la releve pour te guider t en fais pas. Concernant la procédure j ai fini de la remanier. Ce fichier 64 the.exe était douteux et inconnu, je sentais qu il était infecté mais pour ne pas prendre de risque du a son caractere "inconnu" j avais préféré te le faire renommer afin de le rendre inactif. Mais BipBip est passé par la, et il a enlevé mes doutes en affirmant qu il était effectivement infecté. Donc a présent plus de doute a avoir, il faut le supprimer comme nous l a indiqué BipBip. Bonne soirée @ demain