Jack_Burton

Bonsoir et bienvenu sur le forum sécurité de zebulon, Hum hum... Le peer to peer est source d infection virale. Par ailleurs, c est contraire a la charte du forum. Nous te t aiderons pas a configurer ou a régler un probleme pour de tels logiciels. Par contre, nous ferons en sorte de désinfecter ton systeme. Applique dans un premier temps notre procédure préliminaire :

Bonsoir, Fallait poster dans la 1ere discussion c est a dire ici : http://forum.zebulon.fr/index.php?showtopi...48entry669848 Bon tant pis! Pas bien !!! Le peer to peer est source d infection virale! Par ailleurs, c est contraire a la charte du forum. J ai vu sur ton rapport hijackthis que tu avais le service France Telecom Routing Table Service (FTRTSVC). Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! Nous allons le désactiver puis le supprimer : 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: - France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe 5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification sur CETTE discussion

Bonsoir et bienvenu sur le forum sécurité, Tu es infecté! Je t invite a suivre dans un premier temps notre procédure préliminaire :

Bonjour, C est lié a quel logiciel photogallery? 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -avast! iAVS4 Control Service (aswUpdSv) -avast! Antivirus -avast! Mail Scanner -avast! Web Scanner Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -avast! 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\Alwil Software<---supprime tout le dossier 5/ Redémarre en mode normal

Bonjour et bienvenu sur le forum sécurité de zebulon, 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode normal que tu posteras aussi.

Bonjour, Ton rapport est incomplet, il manque le début avec la référence de ton systeme d exploitation. Bon c est pas grave! Pour NewNet tu as le choix : - soit tu te débrouilles tout seul en suivant cet article - soit tu suis la procédure ci-dessous Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge new.net uninstall sur le bureau: http://www.new.net/support/uninstall6_38.exe 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -New.net ou NEWDOTNET 5/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -AntiVir Scheduler (AntiVirScheduler) -AntiVir PersonalEdition Classic Service (AntiVirService) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 6/ Exécutez uninstallNewdonet Tapez: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur cd D, E, F,..) Cliquez sur OK. 7/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [speed racer] C:\Program Files\Creative\SBPCI5122K\PlayCenter\CTSRReg.exe O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RoxAssistant] C:\Program Files\Common Files\Roxio Shared\Upgrade\RoxAssist.exe /s O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Adult - http://listdating.com/se/se10.htm O8 - Extra context menu item: Business - http://listdating.com/se/se5.htm O8 - Extra context menu item: Car Insurance - http://listdating.com/se/se3.htm O8 - Extra context menu item: Escorts - http://listdating.com/se/se9.htm O8 - Extra context menu item: Finance - http://listdating.com/se/se6.htm O8 - Extra context menu item: Games - http://listdating.com/se/se12.htm O8 - Extra context menu item: Health Insurance - http://listdating.com/se/se4.htm O8 - Extra context menu item: Loans - http://listdating.com/se/se7.htm O8 - Extra context menu item: Online Casino - http://listdating.com/se/se2.htm O8 - Extra context menu item: Porn - http://listdating.com/se/se11.htm O8 - Extra context menu item: Sport Betting - http://listdating.com/se/se1.htm O8 - Extra context menu item: Viagra - http://listdating.com/se/se8.htm O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: >> DATING >> - http://listdating.com/dt.htm O8 - Extra context menu item: >> SEARCH >> - http://listdating.com/se.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version3/Applet/wchatsign.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1139096614750 O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab O20 - AppInit_DLLs: CLKERN.DLL Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 8/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRA~1\NEWDOT~1<---supprime tout le dossier -C:\Program Files\AntiVir PersonalEdition Classic<---supprime tout le dossier 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, Ok c est parfait!

Re, Un logiciel de peer to peer est source d infection virale. Par ailleurs c est contraire a la charte du forum. Tu es infecté par lop.com également. Celui-ci s installe par les sponsors de Messenger Plus ou par certains logiciels de peer to peer comme Kazaa (présent sur ton systeme). Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. *télécharge lopremover http://clairvoyant.p2pforum.it/tools/lopremover.zip Dézippe le 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Ce service France Telecom Routing Table Service (FTRTSVC) n est pas infectueux! Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Kazaa -eMule -Messenger Plus! Désinstalle le si tu l utilises. Tu le réinstalleras ultérieurement sans les sponsors. 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://side.search.ke.voila.fr R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr.messenger.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R3 - URLSearchHook: {EA551C00-2AE5-11d3-8592-00A0C98E9EA4} - - (no file) O2 - BHO: phoneaccess Class - {5054F860-748D-4840-B7B4-DDDB428421AF} - C:\WINDOWS\DOWNLO~1\PHONEA~1.DLL O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1048.dll,InstantAccess O4 - HKCU\..\Run: [burn Browse] C:\DOCUME~1\PAULPI~1\APPLIC~1\2WAITS~1\dent store 32.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/instal...hidden-test.cab O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - http://scripts.downloadv3.com/binaries/P2E..._1048_FR_XP.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} (VoxsyncCtrl Class) - http://contacts.wanadoo.fr/wfr_webab/VoxsyncX.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5054F860-748D-4840-B7B4-DDDB428421AF} (phoneaccess Class) - http://ipdata.phoneaccess.com/dialer/1/cab...phoneaccess.cab O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {A5173EA8-1337-4BAB-A67E-198C9919D9CC} - http://213.11.100.7/websetup/websetup2.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1064482.exe O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<----cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\DOWNLO~1\PHONEA~1.DLL -C:\WINDOWS\System32\FTRTSVC.exe -C:\Program Files\Kazaa<---supprime tout le dossier -C:\Program Files\eMule<---supprime tout le dossier -C:\DOCUME~1\PAULPI~1\APPLIC~1\2WAITS~1<---supprime tout le dossier -C:\WINDOWS\web<---vide le dossier - -p2esocks_1048.dll ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 8/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [instant Access] rundll32.exe p2esocks_1048.dll,InstantAccess<---supprime si présent Ferme ensuite le registre. 9/ exécuter Lopremover Tu le lances, tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL Redémarrer NB : il se peut que ton antivirus s’exite, désactive le le temps de la manipulation 10/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 11/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 12/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Bonjour, C est bien ce que je pensais, le malware est toujours présent! Je démarre une analyse de ton rapport, réponse dans un moment! Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées!

Ton rapport est propre! Installe un firewall comme je te l ai demandé en fin de procédure : Installes également un antivirus! As tu toujours des dysfonctionnements?

Bonsoir et bienvenu sur le forum sécurité de zebulon, Ce fichier p2esocks_1048.dll laisse supposer que tu es infecté! Il doit encore rester des traces de l infection sur ton systeme. Je t invite donc a suivre dans un premier temps notre procédure préliminaire :

Bonsoir, Du peer to peer et du cul! Ne cherches pas plus loin la cause de tes problemes

Re bonsoir, J avais pas fait attention tout a l heure mais avec le rapport le probleme semble évidemment : Voila certainement la cause de ton probleme! Un logiciel de Peer to peer entraine des ralentissements de la connexion et du systeme en général, provoque des déconnexions intempestives, ouvrent 2 ports sur le systeme et par conséquent, tu es totalement vulnérable aux pirates meme avec un firewall. Désinstalles emule et cela devrait aller mieux. Par ailleurs, de tels logiciels sont contraires a la charte du forum.

Bonsoir le rapport est propre! As tu des dysfonctionnements? Pour supprimer Antivir : 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Dans le menu Demarrer>Executer >tape: services.msc Recherche les services avec cette orthographe exacte: -AntiVir Service (AntiVirService) -AntiVir Update (AVWUpSrv) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 3/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): - AVPersonal ou Antivir 4/ Supprime tout le dossier C:\Program Files\AVPersonal 5/ Redémarre en mode normal Attention! Le service webshield d Avast est incompatible avec ZoneAlarm! Ben non! Pourquoi veux tu le désinstaller! Il accroit davantage la sécurité du systeme d exploitation! Gardes le! Oui, il est conseillé de passer a un navigateur alternatif pour plus de sécurité! Pourquoi passer sur Firefox (ou Opera) et abandonner IE? Tout simplement parce que IE n est pas conforme aux standards du W3C, ils gerent ces funestes ActiveX, souvent porteuses d infections virales, il ne propose pas la navigation par onglets si pratique, il n integre pas d anti popups en interne. Pour toutes ces raisons je te conseille de passer sur Firefox que tu peux davantage sécuriser avec les conseils de megataupe

Bonsoir, Je démarre une analyse de ton rapport infecté! Réponse dans un moment Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées! Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -SurfAccuracy -SideFind 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [OESyncTray] "C:\Program Files\mobile PhoneTools\OESyncTray.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_10\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PDFSaver] C:\Program Files\GénéaTique2004\PdfDrv\Install\PDFSaver.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing) O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\SurfAccuracy<---supprime tout le dossier -C:\Program Files\SideFind<---supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Aucun firewall présent sur ce rapport. Si tu n en as pas ou si ta soeur utilise la bouse offert par XP alors je lui conseille FORTEMENT d en installer un vrai! Vous en trouverez 3 gratuits et performants dans "les consignes de sécurité" en bas pres de ma signature. Désinstalle un des antivirus (Antivir)

Bonjour et bienvenu sur le forum sécurité de zebulon, Je t invite a suivre notre procédure préliminaire :

Re bonjour a tous, coucou Bruce Tu as parfaitement raison Bruce de ne pas le faire supprimer! Il est légitime, il est lié a une carte son Creative (voir ici ou ici). Une fois encore, tu as vu tout juste! buzwor, tu peux suivre sans probleme les consignes de Bruce, je lui fais entierement confiance! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.fr R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/177da021373047...RdxIE601_fr.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127637865171 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O18 - Filter: text/html - {1273113A-51A2-45B9-A5BE-7D8A2E9DB7FA} - C:\WINDOWS\System32\bmmbab.dll O18 - Filter: text/plain - {1273113A-51A2-45B9-A5BE-7D8A2E9DB7FA} - C:\WINDOWS\System32\bmmbab.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\SCVHOST.EXE -C:\WINDOWS\System32\REGCPM32.EXE -C:\WINDOWS\System32\bmmbab.dll 6/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido Installes un vrai firewall! Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" en bas pres de ma signature

Bonjour, Le rapport est propre! As tu toujours des dysfonctionnements? Fixe encore ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

Bonjour, C est une fausse alerte voir ici

Bonjour, Nous allons continuer un peu nos recherches pour que tout redevienne comme avant! Peux tu me poster un nouveau rapport hijackthis en mode normal, merci

Bonjour buzwor et bienvenu sur le forum sécurité de zebulon, 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode normal que tu posteras aussi.

Salut, En installant un logiciel comme Everest tu pourras connaitre la licence de tous tes logiciels et de ton systeme d exploitation. Une fois installé, clique sur l onglet "systeme d exploitation" et regarde a "clé du produit".

Bonjour a tous, gabyjord, arrete d interférer les procédures, surtout pour dire des bétises! 1/ hijackthis n est pas un antivirus, il ne suffit pas de cocher et fixer une ligne pour supprimer un fichier et/ou dossier 2/ les lignes 023 sont des services donc inutile de les fixer car elles reviendront tout le temps. 3/ Qc001 est assez grand pour se débouiller tout seul Si tu veux tant aidé, commence par t imprégner des méthodes du forum et va lire les articles sur hijackthis car tu ne sais absolument pas ce que c est et comment il fonctionne! Un peu de lecture : http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php Bon, désolé Qc001 et kms49 d avoir intéférer un moment votre discussion! Bonne continuation

Bonjour a tous, bonjour alpat, picher & neos, picher, je te conseille de suivre le tutorial n2 de neos : http://www.xperience-fr.net/tutorial.php?t...al=11104&page=2 Celui-ci est tres bien. Cependant quelques remarques au niveau des regles de filtrage : 1ere remarque : Comme on peut le voir il autorise en entrée & sortie le "Generic Host Process for Windows". picher, je te conseille fortement de lui refuser l entrée et la sortie. Certes, tu ne pourras plus bénéficier des mises a jour automatiques de windows mais tu seras davantage en sécurité. 2eme remarque : On voit également dans le tuto que "outgoing ping command", "outgoing ping command INCOMING REPLY", "incoming lcmp Time exceeded" et "outgoing reply on PING command" sont bloqués. Si tu fais des demandes de ping, il te faudra les autoriser. 3eme remarque : Si tu n as pas de connexion manuelle, si tu te sers du service DHCP pour recevoir une IP, il ne faut absolument pas le bloquer sinon tu ne pourras pas aller sur le net. Si tu as une adresse IP fixe et une connexion manuelle, aucun probleme, bloque le.

Bonjour a tous, bonjour tornado, Jagaumo, gabyjord & Charly Tu as bien raison de ne pas écouter gabyjord pour 2 raisons : - d une part, ce qu il te demande de fixer n est pas infectueux - d autres part, les lignes 023 sont des services donc les fixer ne sert a rien car elles reviendront tout le temps. Pour ne plus voir une ligne 023, il faut stopper le service en question Ca peut venir de plusieurs choses : exces de chaleur dans le boitier (ventilos encrassés ou défectueux), alimentation insuffisante, périphériques mal connectés etc etc...