Jack_Burton

Salut, Ton pc est infecté, avant de commencer une analyse applique cette procédure préliminaire je te prie :

Re, Ton fichier est vraiment inconnu au bataillon, d apres le virusscan de jotti il pourrait s agir d un malware. Dans le doute voila ce que l on va faire : Tu vas scanner ce fichier c:\windows\system32\gampyrjh.exe avec Kapersky. Ensuite tu vas démarrer en mode sans échec puis renomme ce fichier (clic droit sur le nom de fichier / renommer) en gampyrjh-exe.anc afin de le rendre inactif. Si tout est bon dans 2 jours,si tu ne rencontres aucun probleme tu pourras le supprimer.

Salut, Je ne vois rien d infectueux a part une ligne indéterminée : O4 - HKLM\..\Run: [gampyrjh] c:\windows\system32\gampyrjh.exe -start Peux tu faire un scan avec le virusscan de jotti de ce fichier : c:\windows\system32\gampyrjh.exe Tu peux également fixer ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/EGD...ESS_1065_XP.cab Il y a encore des lignes superflues mais on verra ca plus tard.

Salut, Voici un tutorial pour regseeker Celui ci supprime les clefs inutiles de la Base de Registre. Avant toute suppression n oublie pas de sauvegarder ta Base de Registre on sait jamais.

Salut, Pas de peer to peer ici, c est contraire a la charte zebulonienne

Bonjour Jano Si tu penses etre infecté, applique cette procédure préliminaire je te prie :

Salut, On peut désormais faire des Maj de windows avec Firefox ou Opera. Pour ma part je passe par cette adresse http://www.microsoft.com/france/technet/se...te/default.mspx afin de les télécharger et les intégrer a mon CD d installation de l OS. Donc personnellement le dernier "atout" de IE n a plus de raison d etre. Pour moi IE est mort et je ne vais pas le pleurer et c est pas sa version 7 qui me fera changer d avis.

Bonsoir neofitos Je ne l ai jamais utilisé mais la version windows n integre pas de protection en temps réel

Bonjour, Je suppose que tu parles de la disquette de démarrage. Tu peux créer une disquette de démarrage en suivant cette procédure : - menu Démarrer, Paramètres, Panneau de configuration, - double-cliquer sur "Ajout/Suppression de programmes", - onglet "Disquette de démarrage", - suivre les instructions.

Re, Nous ne sommes pas sur de la légitimité du fichier devldr32.exe et nous ignorons si tu possèdes une carte son Creative ( en possedes tu une au fait?) donc pour le moment nous allons suivre les conseils de ipl_001 Nous n allons pas le supprimer pour le moment mais juste le rendre inactif. 1/ Commence par faire une analyse anti-malware de ce fichier avec le viruscan de jotti 2/ Démarre en mode sans échec 3/ Renomme ensuite ce fichier en devldr32-exe.anc (clic droit sur le nom de fichier / renommer) ce qui le rendra inactif. Si tout est bon dans 2 jours, tu le supprimeras.

Re bonjour Tirol Non je ne l ai pas utilisé (et pour cause je ne le connaissais pas) mais en voyant sa liste de nettoyage il reprend pratiquement ce que fais un CCleaner donc je me demande s il est vraiment utile. Je vais le tester. Reponse dans un petit moment afin de voir s il supprime plus de chose que CCleaner ou Beclean. Voila, test terminé, il ne m a rien trouvé de plus que CCleaner donc il ne me semble pas vraiment necessaire pour ceux qui ont déja CCleaner, Beclean, EasyCleaner et l excellent (mais méconnu) iSyscleaner.

Re, Je ne vois plus rien d infectueux sur ton rapport. Pense a désinstaller antivir car tu as déja un antivirus d installer. En installant des logiciels adéquates tels que : spybot, ad aware, spywareblaster, un firewall bien configuré, un antivirus mis a jour, en abandonnant Internet Explorer pour un navigateur alternatif comme Firefox (que tu peux davantage sécuriser avec les conseils de megataupe), en ayant un systeme bien a jour en corrigeant ces failles via WindowsUpdate et en venant sur le forum de zebulon Tu trouveras ces logiciels indispensables (et gratuits) dans "les consignes de sécurité" en bas pres de ma signature avec des tuto pour bien configurer firewall et antivirus. Edit : C:\WINDOWS\System32\devldr32.exe Processus a polémique. Sur certains sites il n est pas présenté comme un malware (ici ou ici) sur d autres comme un programme indésirable (ici ou ici) Je ne sais pas s il s agit du processus légitime Creative ou pas. Sur le doute supprime le en mode sans échec. Il ne s agit pas d un processus essentiel.

Bonjour megataupe Merci pour cette précision Effectivement, il n a pas l air méchant mais a présent je rejoins Tirol pour encourager Hulk a le supprimer.

Re, Infection par Lop.com et New.Net sur ton rapport ! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge cet outil de désinfection LSPFix.exe a cette adresse http://www.cexx.org/lspfix.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Démarrer> Paramètres> Panneau de configuration> Ajout/suppression des programmes S’il y a le programme NewDoNeT ou NewNet le désinstaller. Désinstalle également MessengerPlus que tu réinstalleras ultérieurement sans les sponsors. Si après la manip ci-dessous tu perds l’acces a internet : Démarre LSPFix Coche 'I know what I'm doing' Clicque sur 'Finished'. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vsbwlmevxiykkyclfw.net/n5ArmNKy...W1PXn7FMdO.html O2 - BHO: (no name) - {A5D141E0-25BC-E905-E480-4B464824D15E} - C:\DOCUME~1\zoppi\APPLIC~1\LOUDNU~1\Army fast.exe (file missing) O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [loud proxy cast file] C:\Documents and Settings\All Users\Application Data\heck way loud proxy\meal ace.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [Overnet] F:\Overnet\eDonkey2000.exe -t <== source de nombreux malwares et contraire a la charte de zebulon O4 - HKCU\..\Run: [style each] C:\DOCUME~1\zoppi\APPLIC~1\SURFDU~1\Size User Okay.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128167004358 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime les dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\Program Files\MessengerPlus! 3<== supprime tout le dossier -C:\Documents and Settings\All Users\Application Data\heck way loud proxy<== supprime tout le dossier -C:\PROGRA~1\NEWDOT~1<== supprime tout le dossier -C:\DOCUME~1\zoppi\APPLIC~1\SURFDU~1<== supprime tout le dossier -C:\DOCUME~1\zoppi\APPLIC~1\LOUDNU~1<== supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : désolé, j ai eu un probleme et la procédure a été postée avec des oublis, l erreur est réparée, la procédure est complete, désolé pour ce désagrément.

J analyse ton rapport zoppi, réponse dans un petit moment. Evite a l avenir de poster différents messages pour un probleme similaire.

Bonjour zoppi Belle infection par New.Net Avant d analyser ton rapport, applique la procédure préliminaire je te prie Bon je vois que tu avais déja fait la procédure préliminaire, tu aurais du poster ton rapport sur ton premier post ici http://forum.zebulon.fr/index.php?showtopic=76135 sinon on risque d avoir des doublons!!

Bonjour Tirol c est pas infectueux ca, il s agit d un processus lié a sa carte son, (voir ici ou ici) Il est vrai que certains sites affirment qu il sagit d' un "indesirable program". Il peut le supprimer s il le désire ca ne touchera en rien la stabilité du PC, il ne s agit pas d un processus essentiel. Bon dimanche a toi aussi Tirol

Bonjour didichou & pollux Ne voyant pas pollux je me permets de répondre a sa place. Je ne vois plus rien d infectueux sur ton rapport. N oublie pas de désinstaller Antivir car 2 antivirus en temps réel ne font pas bon ménage.

Bonjour, Je ne vois plus rien d infectueux sur ton rapport Hulk93 ce ne sont pas forcément des virus, il peut s agir de fichiers en cours d utilisation. Par exemple chez moi, il y a 5 fichiers qu'easycleaner ne peut supprimer. Peux tu me donner le nom du fichier que tu n arrives pas a supprimer stp?

Salut, romdou tu pourrais nous écrire un petit message de salutations et un descriptif des problemes rencontrés ou de ce que tu souhaites savoir avant de nous plaquer ton rapport... Tu peux déja commencer par éviter le P2P c est contraire a la charte de zebulon.

bonsoir Hulk93 je viens de regarder ton rapport rapidement et effectivement tu as bien une ligne suspecte : O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe Je vais analyser le reste du rapport, réponse dans un petit moment Re, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: - spool Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/ O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe <== il est possible qu elle n y soit plus dans la mesure ou l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\WINDOWS\spoollv.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Démarre en mode sans échec 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O4 - HKLM\..\Run: [Compaq Service Drivers] ntsys32.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers] ntsys32.exe O4 - HKCU\..\Run: [Compaq Service Drivers] ntsys32.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers] ntsys32.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127891884515 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked" 6/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\WINDOWS\System32\ntsys32.exe 7/ Nettoyage de ver W32/Sdbot-LN dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement à : *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Compaq Service Drivers] ntsys32.exe<--- supprime si présent *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Compaq Service Drivers] ntsys32.exe<--- supprime si présent *HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Compaq Service Drivers] ntsys32.exe<--- supprime si présent *HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices [Compaq Service Drivers] ntsys32.exe<--- supprime si présent Ferme ensuite le registre. 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : coucou Charly

bonjour kiff31 j analyse ton rapport, réponse dans un moment. Je vois déja un beau virus qui se fait passer pour un driver Compaq : ntsys32.exe voir ici http://www.bleepingcomputer.com/startups/n....exe-10610.html ou ici http://www.sysinfo.org/startuplist.php?filter=&letter=N

salut, Concernant cette ligne O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon . Il s'agit du "Synchronisation Manager" qui peut être présent après l'installation du SP2 de Windows 2000. Pour le supprimer, allez dans Démarrer, Exécuter... et tapez ceci : regsvr32 /u mobsync.dll. Avez vous pris en considération l analyse de BipBip?? Personnellement, je n avais rien vu, je n aurais pas imaginé que cela soit un virus comme le prétend BipBip surtout en voyant l emplacement des dossiers en question: C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe C:\Documents and Settings\All Users\Application Data\Remote bind close soft\EggsMpeg.exe C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe Je n ai jamais eu affaire a lop.com donc je ne l avais pas remarqué mais si BipBip affirme qu il s agit d un malware vous devriez suivre son conseil et sa procédure.

bonjour a tous, re bonjour megataupe Tu as bien raison de les suspecter megataupe ce sont des services nocifs que l on doit supprimer : -javapanel.exe -microsoft.exe -spoollv.exe<--- rien trouvé dessus mais il est tres suspect également. on peut meme éradiquer cette ligne : C:\WINDOWS\windowsupdates.exe <--- pas légitime du tout (voir ici) il faut supprimer Pour les éradiquer : 1/ démarre en mode sans échec 2/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -Windows Updates <- rien à voir avec le vrai -sdktemp -spool avec spoollv.exe comme processus associé -ECA (cpanel) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 3/ lance un scan hijackthis et coche ces lignes si présentes. O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing) O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe O23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exe Fixe ces lignes 4/ Recherche et supprime les fichiers incriminés par l explorateur windows si présent : -C:\WINDOWS\javapanel.exe -C:\WINDOWS\microsoft.exe -C:\WINDOWS\spoollv.exe -C:\WINDOWS\windowsupdates.exe 5/ Nettoyage des fichiers inutiles et registre avec easycleaner. Ne pas utiliser la fonction doublons 6/ redémarre en mode normal et poste un nouveau rapport a titre de vérification