Jack_Burton

t en fais pas megataupe ca arrive a tout le monde d oublier des lignes, moi en premier surtout a partir de 22h

bonjour a tous, bonjour megataupe tu as oublié de lui faire supprimer cette ligne et de lui effacer le dossier associé : O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\PROGRA~1\Serv-U\ServUDaemon.exe c est un service nuisible voir ici http://castlecops.com/o23list-381.html pour ce faire, en mode sans échec : 1/ tu vas dans "panneau de configuration/suppression de programmes", et tu désinstalles le programmes Serv-U ou Serv-U FTP Server (Serv-U) si présent. 2/ ensuite tu lances un scan hijackthis et tu fixes cette ligne 23 : O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\PROGRA~1\Serv-U\ServUDaemon.exe 3/ puis tu supprimes completement le dossier suivant : -C:\PROGRA~1\Serv-U

Re, 1/ tu peux fixer ces lignes alors : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fbtpgrdwnugbvxnavrdxq.org/arxW4...FFXsd7ZUjk.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {51BAA940-7D2A-1CDA-5A23-9518ACFF0CDC} - C:\DOCUME~1\Yann\APPLIC~1\KNOBRE~1\titlelite.exe O2 - BHO: (no name) - {0A795CE6-E0F4-1882-0C1A-8EFE682A9410} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "H:\Cossacks2Setup.exe" -AdditionalInstall O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) Voila ce que tu peux fixer en premier lieu. 2/ Cependant si ton ami installe un navigateur alternatif tel que firefox ou opera il pourra désinstaller la yahootoolbar qui lui sera inutile par la suite car ces fonctions sont intégrées dans ces navigateurs. S il opte pour un de ces navigateurs il pourra rajouter ces lignes a fixer : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omtvtiityenzhekb.net/arxW4lzDq6...tIY7f52PqYA.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll 3/ il peut également fixer ces lignes s il ne voit pas l utilité a ce que ce programme se lance au démarrage : O4 - HKCU\..\Run: [About Slow] C:\DOCUME~1\Yann\APPLIC~1\GRAMAC~1\bendmpegsupport.exe Edit, il faut savoir qu optimiser son systeme signifie la perte de certains menus contextuels de Internet Explorer ou de certains raccourcis dans les barres des taches, que certains programmes ne se lanceront plus au démarrage comme auparavant. Si le résultat ne lui convient pas il pourra remettre ces lignes fixées car hijackthis fait des sauvegardes de toutes lignes enlevées. Ces sauvegardes sont dans un dossier "backups"

bonjour wismerhill c est un rapport pour optimiser n est ce pas? si c est le cas il y a effectivement bcp de lignes a fixer. a part ca je ne vois rien d infectueux sur ce rapport. je ne vois aucune trace de firewall, ton ami devrait en installer un, regarde dans "les consignes de sécurité" en bas pres de ma signature, vous en trouverez 3 gratuits et performants avec des tuto pour les configurer

désolé Quezac09 Je ne pourrais pas te faire la procédure ce soir, je dois laisser le pc (n étant pas chez moi, je ne peux pas utiliser le pc constamment). J essayerai de revenir demain pour éditer une nouvelle procédure, d ici la mes amis zebuloniens auront certainement pris la releve Edit : bonsoir megataupe

bon j ai fini par trouvé http://forum.zebulon.fr/index.php?act=Post...02&f=40&t=75692 tu es apparemment infecté par W32.Serflog.C d ou la ligne : O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com Je cherche une procédure ce exe peut etre également un spyware/adware (voir ici , ici ou bien ici ) Pour le moment je te demande de mettre en attente la procédure Quezac09

Je ne peux pas rester pour terminer la désinfection, je ne suis pas chez moi par conséquent je ne peux pas monopoliser l ordinateur (je ne rentrerai qu en fin de semaine). Ton cas est intéressant car ce virus qui réapparait avec un autre nom est peu fréquent (en tout cas je n ai jamais eu affaire a cela ). Cela va nous (membres de zebulons) a innover sur ce coup ci (ce qui n est pas plus mal, cela nous change de la routine habituelle ) Pour le moment, faute d information et de temps applique cette procédure pour supprimer une nouvelle bestiole sc.exe 1/ Démarre en mode sans échec 2/ Vérifie d'avoir accès à tous les fichiers 3/ Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent: -Watchdog 2.0 Software ou - Rhombus Watchdog 2.0 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com O4 - HKLM\..\Run: [mzrxwjhdsdwcmcsqph] C:\WINDOWS\System32\dgrwcewnimsd.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked" 5/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\WINDOWS\System32\dgrwcewnimsd.exe -C:\WINDOWS\System32\sc.exe -C:\Program Files\Watchdog Software ou Rhombus Watchdog ou un nom presque similaire avec les mots Rhombus et/ou Watchdog 6/ Nettoyage du vers dans la base de registre: Tu vas dans "Démarrer" puis "Exécuter", tape regedit et va successivement à : *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - [mzrxwjhdsdwcmcsqph] <---supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Tu as suivi la procédure que je t ai indiqué étape par étape? ou est le rapport que je demande a la fin?? Il faut suivre la procédure étape par étape, y a un ordre précis sinon ca ne sert a rien.

Re, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Démarre en mode sans échec 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.type2find.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.type2find.com/sp2.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [mzrxwjhdsdwcmcsqph] C:\WINDOWS\System32\shfpksmafbucni.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked" 5/ Supprime le fichier incriminé (s'il existe encore) par l'Explorateur Windows : -C:\WINDOWS\System32\shfpksmafbucni.exe 6/ Nettoyage du vers dans la base de registre: Tu vas dans "Démarrer" puis "Exécuter", tape regedit et va successivement à : *HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - [mzrxwjhdsdwcmcsqph] <---supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

salut Quezac09 j analyse ton rapport (peut etre le dernier que je ferais sur ce forum) Si cette ligne revient sans cesse, il faudra passer par la Base de Registre a la fin de la procédure. Cela arrive quelquefois pour des vers récalcitrants qui reviennent meme si l on supprime le "exe" du ver en mode sans échec. je regarde ton rapport, laisse moi un petit moment s il te plait

bonjour CHARLY merci pour l info, j avais rien trouvé dessus il y a 3 jours,a présent ca va faire "jurisprudence"

salut bidibullu pourquoi avoir posté un nouveau message??? tu aurais du pousuivre sur l ancien http://forum.zebulon.fr/index.php?showtopic=75687 Reprend ton post, en utilisant l option "edit" rajoute a la fin de ton message "mettre ce rapport a la suite des posts suivant http://forum.zebulon.fr/index.php?showtopic=75687" afin qu un modérateur puisse réparer cela. Cela évitera des doublons aux membres qui t aideront

bonjour ptipoutche et pollux ben oui c est le but d une procédure de désinfection mais poste un nouvau rapport on sait jamais. comme quoi le formatage n est pas l unique "solution"...

A ton service Casimir. Ce serait bien que tu nous tiennes au courant si le probleme persiste malgré l installation de Firefox. Bonne soirée a toi

BonsoiR BipBip J avais pas vu que mike avait posté a 2 endroits. Du coup , moi aussi je me suis tapé une analyse pour rien

Bon je ne vois rien d infectueux sur ton rapport Casimir. Ce sont peut etre des popups tout simplement. C est tout a fait possible, surtout que je vois sur ton rapport que tu utilises Internet Explorer et que ce navigateur n integre pas d antipopup interne. Je te conseille fortement de remplacer Internet Explorer par un VRAI navigateur comme Firefox que tu peux davantage sécuriser avec les conseils de megataupe Tu peux néanmoins fixer ces lignes inutiles Casimir : O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121279457718 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

Bonsoir et bienvenu sur le forum sécurité de zebulon casimir03 J analyse ton rapport, réponse dans un petit moment

10 500 fichiers infectés non, jamais vu ca de toute ma vie. En revanche ton rapport est "classique". J ai déja vu des rapports hijackthis bien pire que le tien. Je ne crois pas que tu ais 10 500 fichiers infectés. Il doit y avoir beaucoup de fausses alertes.

Re, 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyweb.utc.fr:3128 R3 - Default URLSearchHook is missing O2 - BHO: Class - {B01B9E0D-C419-8FB0-E86C-22ABCC8ADA46} - C:\WINDOWS\system32\ntny.dll O4 - HKLM\..\Run: [addeu.exe] C:\WINDOWS\addeu.exe O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appsa32.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime les fichiers incriminés (s'ils existent encore) par l'Explorateur Windows : -C:\WINDOWS\system32\ntny.dll -C:\WINDOWS\addeu.exe -C:\WINDOWS\appsa32.exe 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : bon app a tous, a tout a l heure

Bonsoir mike80 Dans les 10.500 fichiers infectés il doit bien avoir des fausses alertes je pense sinon oui c est grave Bon, j analyse ton rapport, réponse dans un petit moment

Bonjour spirytus et bienvenu sur le forum sécurité de zebulon coucou megataupe Bon je ne vois rien d infectueux sur ton rapport spirytus Tu devrais suivre le conseil de Megataupe, car comme tu peux le voir sur le rapport, le kit wanadoo prend bcp de ressource inutilement.

C est bon guylou, nous avons bien eu ton rapport, pas la peine de nous le coller une 4eme fois Lorsque tu postes un nouveau rapport qui suit une procédure de désinfection, pas la peine de recopier cette procédure sinon ca fait des posts tres tres longs et ca prend bcp de place. Merci de ta compréhension

Merci Pattel , c est une tres bonne nouvelle Alors je ne peux que te souhaiter une "bonne santé" pour l avenir

J ai jamais dit le contraire, moi je te réponds juste a ca : Il est necessaire d avoir un firewall, je suis tout a fait d accord sur ce point, ca lui évitera d avoir de nouvelles bestioles a chaque rapport, mais il est tout aussi important de lui supprimer les trojans qui sont déja dans le systeme. Certains qui sont déja logés peuvent passer a travers les filtres du firewall et prévenir leurs petits camarades que le coin est charmant et que la porte est grande ouverte meme avec un firewall. Un parfeu n est pas fiable a 100% d ou l intéret d utiliser d autres logiciels comme l excellent ProcessGuard Bon maintenant arretons d interférer la procédure sinon Donnie ne va plus sy retrouver.

Non pas obligé puisque la procédure est en "mode sans échec" donc plus de connexion.