Jack_Burton

Bonsoir Inesntes et bienvenu sur le forum sécurité de zebulon Si tu penses etre infecté, applique cette procédure préliminaire je te prie :

Bonsoir gabriello73 & BipBip 1/ Redémarre en mode sans échec 2/ Vérifie d'avoir accès à tous les fichiers: 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [system service73] C:\WINNT\etb\pokapoka73.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\WINNT\etb<--- supprime tout le dossier 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re coucou Charly Personnellement je pense qu il s agit "W32/Agobot-LF" car il n y a aucune mention a Salfeld Child Control 2003 dans le rapport, ni en ligne 02, ni en 04 et aucun processus dédié a ce logiciel.

C est gentil de nous remercier mais as tu des dysfonctionnements? Il reste des lignes inutiles sur ton rapport entre autres celles ci : O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Re, Oui supprime tout

Pour CCleaner, télécharge le ici : http://www.ccleaner.com/ccdownload.asp Avec EasyCleaner, tu nettoies le registre et les fichiers inutiles. Ne pas utiliser la fonction doublons

Salut GUIGUIMIMI et bienvenu sur le forum sécurité de zebulon. Si tu penses etre infecté applique la procédure préliminaire je te prie :

Salut, Je ne vois rien d infectueux dans ton rapport. Je vois que tu utilises Internet Explorer, c est normal que tu ais des fenetres de pub intempestives avec. Je peux te conseiller d installer le navigateur Firefox que tu peux davantage sécuriser avec les conseils de megataupe. Avec Firefox fini les fenetres de pubs

Re, Ben je peux pas vraiment savoir, je n étais pas devant ton PC lorsque tu as appliqué la procédure préliminaire, mais tu as mal placé Hijackthis alors que dans la procédure c était indiqué de ne pas le placer dans un dossier TEMP : Apres avoir fait un scan avec Hijackthis tu peux cocher les lignes inutiles ou douteuses puis les supprimer ("Fixer objet") Flipo peux tu répondre a ma question précédente stp? Merci de bien répondre a ca!! Coucou megataupe Je vais suivre ton conseil, ca ne coute rien et cela ne peut pas lui faire de mal. Flipo télécharge et installe Ewido et scanne ton disque dur avec. Lorsque le scan sera fini, poste le rapport de Ewido.

Bonjour Kini, Personnellement, je ne pense pas que cela soit un virus, ce n est pas un fichier "exe", il se trouve dans un fichier TEMP (temporaire) donc il ne doit pas etre bien méchant. CCleaner nettoie tous les fichiers TMP et les dossiers Temp donc il devrait supprimer le fichier en question. Si cela ne marche pas, ca veut dire qu il est en cours d utilisation, si c est le cas, refait la meme chose en mode sans échec.

Re, Je ne vois rien d infectueux sur ton rapport mise a part des lignes inutiles. Commence par fixer ces lignes : O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.ldl2.com/kits/325/ldl2.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/095b450022e909...RdxIE601_fr.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://24.234.255.102/activex/AxisCamControl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...er/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab Est ce toi qui a installé les programmes suivant : -C:\Program Files\Calendrier -C:\Program Files\Anniversaires -C:\Program Files\Broderbund Tu as des trous de mémoire? N oublie pas que tu as 2 antivirus qui fonctionnent en temps réel, n oublie pas d en désinstaller un.

Bonjour Flipo, J analyse ton rapport, réponse dans un petit moment. En attendant change l emplacement de Hijackthis (peu importe où mais pas sur le bureau ni dans un dossier Temp )

Re anna, Tu as déja poster ici http://forum.zebulon.fr/index.php?showtopic=76277 Evite de lancer plusieurs posts pour un probleme similaire sinon on ne va plus s y retrouver et on risque de faire des doublons d analyse.

Bonjour anna24 Si tu penses etre infectée, applique cette procédure préliminaire je te prie :

Bonjour a tous, bonjour sebene & pollux Sebene comme te l a dit pollux il n y a rien d infecteux sur ton rapport, néanmoins je peux voir 2 antivirus en temps réel : avast & VirusScan de Network Associates. Tu dois en désinstaller un car 2 antivirus en temps réel ne font pas bon ménage.

Bonjour Fred et ipl Fred je t ai fais fixer cette ligne : O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) Cette ligne n est pas nécessaire mais il semblerait y avoir un bug dans Hijackthis (voir post de ipl_001). Si cette ligne est fixée msn pourrait ne plus fonctionner. Si c est ton cas, si msn ne fonctionne plus, applique cette procédure: *Hijackthis conserve en sauvegarde dans un dossier Backup les lignes fixées, pour réparer cette ligne 018 tu lances Hijackthis, tu vas dans "voir sauvegardes" tu coches cette fameuse ligne O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) puis tu cliques sur "réparer". *Si tu n as plus les sauvegardes (dans la mesure ou tu as laisser Hijackthis dans un dossier TEMP), désinstalle completement MSN 7.5 et réinstalle le.

Bonsoir a tous Oui je confirme, megataupe est méga top , bon ok je sors c était bidon

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" les logiciels suivant : -Media Gateway -SurfAccuracy 5/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: - spool Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/ O4 - HKLM\..\Run: [Microsoft UpToDate Driver (32-bits to 64-bits)] ympkcbxaur.exe O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\RunServices: [Microsoft UpToDate Driver (32-bits to 64-bits)] ympkcbxaur.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c2.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127596273734 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe<== il est possible qu elle n y soit plus dans la mesure ou l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\Program Files\Media Gateway<== supprime tout le dossier -C:\Program Files\SurfAccuracy<== supprime tout le dossier -C:\WINDOWS\spoollv.exe 8/ Nettoyage du ver dans la base de registre Démarrer -> Exécuter -> tape regedit et va successivement à : *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Microsoft UpToDate Driver (32-bits to 64-bits)] ympkcbxaur.exe<--- supprime si présent *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Microsoft UpToDate Driver (32-bits to 64-bits)] ympkcbxaur.exe<--- supprime si présent Ferme ensuite le registre. 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir fred, bienvenu sur le forum sécurité de zebulon J analyse ton ton rapport, répone dans un petit moment. En attendant change l emplacement de Hijackthis (peu importe où mais pas sur le bureau ni dans un dossier Temp ) Je vois 2 antivirus sur ton systeme : Norton & AVG, penses a en désinstaller un car 2 antivirus en temps réel ne font pas bon ménage.

Ok, ton fichier semble bien etre un malware. En le renommant gampyrjh-exe.anc il est devenu inactif. Je te le fais pas supprimer tout de suite, attends tout de meme 2 jours avant de le faire (on ne sait jamais car ce fichier est inconnu) si tu ne vois aucun probleme, tu pourras le supprimer. Etrange cela, peux tu me poster un nouveau rapport hijackthis stp?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [winsupdater] C:\Program Files\winsupdater\winsupdater.exe /auto O4 - HKLM\..\Run: [] winlog.exe O4 - HKLM\..\RunServices: [] winlog.exe O4 - HKCU\..\Run: [steam] "c:\program files\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Color Calibration.lnk = ? O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\Program Files\winsupdater<=== supprime tout le dossier 6/ Concernant ce fichier winlog.exe, il peut s agir soit du virus W32/Agobot-LF (voir ici) soit d un fichier légitime (voir ici). Sur le doute on va le renommer et le rendre inactif. Renomme donc ce fichier C:\WINDOWS\system32\winlog.exe en winlog-exe.anc (clic droit sur le nom de fichier / renommer). Si tout est bon dans 2 jours,si tu ne rencontres aucun probleme tu pourras le supprimer. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir IPL Ok, je démarre l analyse, réponse dans un petit moment.

Salut Avant toute analyse de ton rapport, applique la procédure préliminaire suivante je te prie :

Salut, Tesgaz a fait un tutorial pour éliminer toute trace de Morton sur un systeme. Voir ici http://forum.zebulon.fr/index.php?showtopic=73027&st=0

Salut, je ne vois rien d infectueux dans ton rapport. Le fichier indiqué se trouve dans un dossier TEMP (temporaire). Télécharge et installe CCleaner et nettoie ton systeme. Edit : grillé par BipBip, bonsoir BipBip