Jack_Burton

euhhhh, c est pas vraiment le bon forum...

Salut, Oui c est ca Il y a encore le rouge pour les "membres/développeurs" et un rouge unique pour l administrateur Yann que je salue

Bonjour et bienvenu sur le forum sécurité de zebulon, Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées! Tu es infecté, notamment par Lop.com installé par les sponsors néfastes de Messenger Plus. Voila ce que tu vas faire dans un premier temps : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Messenger Plus! 3<---tu le réinstalleras ultérieurement (apres toute la procédure) sans les sponsors 2/ Applique la procédure préliminaire :

Bonjour a tous, bonjour virtualfacto, Ton rapport montre des signes d infcetion! Je t invite a suivre dans un premier temps notre procédure préliminaire :

Bonsoir, Tu n as absolument pas fait ce que je t avais demandé! Il faut passer Vundofix! Comme donc par faire ceci : Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Oui tu as raison Charles, il est tout a fait légtime, j avais mis en recherche netdde.dll (qui lui est infectueux) et non pas netdde.exe Je corrige, désolé pour le désagrément, la fatigue me fait du tord! Allez, pour la peine, je me déconnecte et je vais au dodo

Bon je te laisse faire Bruce

Bonsoir a tous, bonsoir Régis, bonsoir et bienvenue melbanoire, melbanoire, ton rapport montre des signes d infections! Je démarre une analyse, réponse dans un instant

Bonsoir divine, Ton rapport n est pas encore totalement propre! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -Handling the DHCP requests (DHCP Client) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119088308359 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - C:\WINDOWS\System32\dhcpclient.exe (file missing) missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\dhcpclient.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Ok, Bonne soirée

Bonsoir, Ben c est normal que tu ne puisses pas ouvrir le parfeu intégré a Windows!! Celui-ci s est désactivé depuis que tu as installé le parfeu Kerio!!! Il ne faut pas avoir 2 parfeux actif en meme temps car c est risque de conflits et d incompatibilités. Non, il est tres bien! C est d ailleurs celui que j utilise (dans sa version 2.1.5). Content que tout soit rentré dans l ordre! Bonne soirée

Bonsoir, Mis a part les 2 logiciels de peer to peer, il n y a plus rien d infectueux sur ce rapport! Je t invite d ailleurs a les désinstaller dans ton intéret. Si tu devais reposter un nouveau rapport dans l avenir avec la présence d un logiciel peer to peer, je ne l analyserais pas car j estime avoir été assez clair sur les risques de ce genre de logiciel. Apres c est toi qui vois! Prends tes responsabilités. As tu toujours des dysfonctionnements?

Salut, Cette annonce aurait pu etre placée a la suite de cette discussion : http://forum.zebulon.fr/index.php?showtopic=83813

Bonjour, Le rapport est propre! Comment ca? Pourtant il est bien présent sur ton rapport!

Re bonsoir Tornado, Oui ce sont ces lignes! Dans le cas d une infection classique de Vundo : L'infection s'identifie par la présence d'une ligne O2(MSEvents) accompagnée d'une ligne O20 - Winlogon Notify qui affiche le même dll que la O2. Dans le cas de Conhook : Vundo arrive parfois avec une ligne O2(no name) accompagné, comme par une infection classique de vundo, par une ligne 020 qui affiche le même dll que la O2 C est normal, le nom des dll est aléatoire.

Bonsoir a tous, Tornado, nous avons affaire a une variante de Vundo : conhook Il faut appliquer une procédure particuliere ! fantomasse fais ceci : Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Regarde mon post précédent, je l ai réédité, il restait une petite bestiole! Applique la petite procédure ci dessus!

S ils n existent plus alors tant mieux Arffff j ai parlé trop vite! Il reste encore une infection!!! 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\System32\msjava32.dll O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version6/Applet/vchatsign.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\msjava32.d 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

A quelle étape? Pour les fichiers introuvables c est possible c est pour cela que j ai écrit : Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées

Bonsoir, Pourquoi n écoutes tu pas ce que l on te dit? Emule & Kazaa sont toujours présents!!! Quant a Hijackthis, il est toujours placé dans un dossier TEMP!!

Salut, Sujet doublon : http://forum.zebulon.fr/index.php?showtopic=86973 Tu aurais du poster dans la 1ere discussion!!! Si la modération passe dans le coin, ce serait bien qu elle regroupe les 2 discussions, merci

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm * Mets a jour Ewido : Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche les services avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) -Windows Log -Network Monitor Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Network Monitor 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing) O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1139710783656 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\kllnlmof.dll (file missing) O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing) O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing) Les 3 lignes 023 ne devraient plus apparaitre du fait que l on a stoppé les services en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\system32\nvsvcd.exe -C:\WINDOWS\system32\kllnlmof.dll -C:\Program Files\Network Monitor<---supprime tout le dossier 8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido Je ne vois pas d antivirus sur ton rapport. Tu en trouveras 2 gratuits dans "les consignes de sécurité" en bas pres de ma signature

Bonjour, J analyse ton rapport, réponse dans un moment

Régis arrette de poster pour dire des idioties!!!! Pffff quelle connerie!! Ou as tu vu que lop détourne les serveurs DNS?? Ou as tu vu que c était wareout ca???? C est le serveur DNS privé de la LiveBox!!!! Lorsque tu ne sais pas ne poste pas Régis! Tu vas lui rendre sa machine instable en lui faisant faire n importe quoi. Régis, je te demanderais de ne plus poster avant de demander avis par MP a un conseiller en sécurité! ryohazuki, ne fais surtout pas ce que t a demandé Régis sinon tu vas perdre ta connexion ryohazuki, poste moi un rapport hijackthis en mode normal et attends ma réponse ou celle d un conseiller en sécurité. Tu peux aussi te fier a l avis de Bruce Lee ou de Microdog.

Oui aucun probleme a fixer ces lignes.