-
Compteur de contenus
3 710 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par Jack_Burton
-
[Résolu] analyse rapport HijackThis suite à freeze du pc
Jack_Burton a répondu à un(e) sujet de minikisskool dans Analyses et éradication malwares
Bonjour a tous, bonjour minikisskool & Charly Charly est insomniaque. De plus, il s injecte directement par intra-veineuse de la caféine pure afin de ne pas s endormir! -
Bonsoir rapport hijackthis svp
Jack_Burton a répondu à un(e) sujet de Popsou dans Analyses et éradication malwares
Effectivement, j ai vite survolé ton rapport, et je n y avais vu que l antivirus de Kapersky! -
Peux tu démarrer avec le mode sans échec?
-
anlyse et rapport hijackthis
Jack_Burton a répondu à un(e) sujet de rot2 dans Analyses et éradication malwares
Re bonjour, J ai écrit trop vite, c est DSLAM! c est un équipement qui permet de regrouper plusieurs lignes DSL en provenance des abonnés sur une ligne très haut débit. Plus on se trouve loin du DLSAM, plus on risque les déconnexions! Si tu ne t en sers pas, pourquoi pas le désinstaller? Regarde si tu n as pas un fichier autorun.inf a la racine de C:\ Affiche les fichiers cachés aussi. Si c est le cas supprime le. -
Salut, Télécharge cette dll ici. Dézippes la et place la dans C:\Windows\system32
-
anlyse et rapport hijackthis
Jack_Burton a répondu à un(e) sujet de rot2 dans Analyses et éradication malwares
Re bonjour, Désinstalles completement les pilotes de ta cam, nettoie ta base de registre des résidus restants avec un logiciel adéquate (JV16 ou Regseeker téléchargeables sur le site zebulon.fr). Redémarre ton systeme puis réinstalles les pilotes! Le probleme n est présent qu avec le raccourci? Il faut savoir que les déconnexions peuvent avoir des sources diverses : la connectique (USB, Ethernet, Wifi), ta distance avec le DLSAM, l utilisation de ton systeme (les logiciels de peer to peer sont sources de déconnexions intempestives par exemple). Je peux te conseiller déja d installer le dernier firmware de ton modem. -
Bonjour a tous, Charly, il faudrait faire désactiver le service France Telecom Routing Table Service (FTRTSVC) puis supprimer en mode sans échec le fichier C:\WINDOWS\System32\FTRTSVC.exe. Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme!
-
Bonjour a tous, bonjour nikollas & Charly ; nikollas, nous allons scanner ton systeme avec Ewido. Désactives la protection en temps réel de Microsoft antispyware durant le scan car il risque de bloquer les corrections dans la base de registre. Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer
-
anlyse et rapport hijackthis
Jack_Burton a répondu à un(e) sujet de rot2 dans Analyses et éradication malwares
Bonjour, Tu avais encore un dossier infectueux! As tu toujours des dysfonctionnements? -
rapport de jv16
Jack_Burton a répondu à un(e) sujet de chiffonner0 dans Analyses et éradication malwares
Bonjour, Moi perso, je les supprime toutes (rouges & vertes que ce soit avec JV16 ou Regseeker)! Tu peux les supprimer mais conserve les sauvegardes comme ca en cas de pépin, tu pourras les rétablir! -
Bonsoir rapport hijackthis svp
Jack_Burton a répondu à un(e) sujet de Popsou dans Analyses et éradication malwares
Bonjour, Ton rapport est propre! Je ne pense pas que ton probleme soit la cause d une infection virale! Enfin, je vais tout de meme te demander de scanner ton systeme avec Ewido. Désactive le TeaTimer de Spybot car il risque de bloquer les corrections dans la base de registre! Tu vas dans Menu Mode--->Mode avancé --->Outils--->Résident, ne pas cocher la case située devant TeaTimer Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer Il faudra songer a installer un firewall sur ton systeme! Tu en trouveras 3 gratuits et performants dans "les consignes de sécurité" en bas pres de ma signature -
L'analyse de mon rapport SVP !!!
Jack_Burton a répondu à un(e) sujet de Zoltan sensei dans Analyses et éradication malwares
Bonsoir Mark Il me semble vraiment infectueux celui-ci! Le fichier légitime se situe dans C:\WINDOWS -
Prob Connexion+Trojans=Rapport HiJack merci
Jack_Burton a répondu à un(e) sujet de Tony501x dans Analyses et éradication malwares
Bonsoir et bienvenu sur le forum sécurité de zebulon, Tu es tres infecté! Je t invite a suivre dans un premier temps notre procédure préliminaire : -
Bonjour, Il peut déja commencer par fixer ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://register.hp.com/servlet/WebReg.serv...e=FR&prodOS=011 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing) O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab Ensuite arrete le service France Telecom Routing Table Service (FTRTSVC) Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Puis supprime le fichier C:\WINDOWS\System32\FTRTSVC.exe Le supprimer en mode sans échec Nous pouvons davantage optimiser ton systeme. Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes et des services non essentiels de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Si tu veux optimiser ton systeme, je te ferais fixer d autres lignes.
-
Avast! 4.6 mise a jour du logiciel
Jack_Burton a répondu à un(e) sujet de Jack_Burton dans Mises à jour utilitaires
Bonjour a tous, Je poste ce message pour indiquer a celles et ceux qui utilisent cet antivirus gratuit qu une petite mise a jour logicielle vient de sortir, passant de la v4.6.744 a la v4.6.763. Voila ce qu apporte cette petite mise a jour : -
L'analyse de mon rapport SVP !!!
Jack_Burton a répondu à un(e) sujet de Zoltan sensei dans Analyses et éradication malwares
Bonsoir et bienvenu sur le forum sécurité de zebulon, Tu es tres infecté! Je t invite a suivre dans un premier temps notre procédure préliminaire : -
help : plantage total
Jack_Burton a répondu à un(e) sujet de dreamer9 dans Analyses et éradication malwares
Re bonsoir, Tu trouveras des tutos pour les firewalls dans "les consignes de sécurité" pour bien les configurer! -
Questions sur nettoyage avec CCleaner
Jack_Burton a répondu à un(e) sujet de lineve26 dans Sécurisation, prévention
Bonsoir a tous, Tu peux tout supprimer! Ce sont des fichiers log donc aucun probleme! -
help : plantage total
Jack_Burton a répondu à un(e) sujet de dreamer9 dans Analyses et éradication malwares
Bonsoir a tous, Ton rapport est propre! Installes un firewall! Tu en trouveras 3 gratuits et performants dans les "consignes de sécurité" en bas pres de ma signature! As tu toujours des dysfonctionnements? T ais tu déja posé la question de la provenance de tes dysfonctionnements? Nous voyons sur ton rapport cela: Ce logiciel bouffe plus de 50% des ressources CPU! Cela sous entend également que tu utilises un logiciel de Peer To Peer (contraire a la charte du forum...) qui en bouffe également pas mal! De plus, ne te crois pas "protégé" par PeerGuardian2, la RIAA, les organiques de protection des oeuvres et les bots de la police & la gendarmerie peuvent te repérer sans probleme! -
analyse rapport HijackThis John51
Jack_Burton a répondu à un(e) sujet de JOHN51 dans Analyses et éradication malwares
Bonsoir a tous, C est pas un malware ca... Voir ici Tornado, fais attention avant la suppression d un fichier! Certains peuvent etre légitimes et nécessaires pour le bon fonctionnement du systeme! Par ailleurs, je ne comprends pas pourquoi tu as fait désinstaller Spyware Doctor! Certes, il n est pas génial, mais il n a rien d infectueux ce logiciel... idem pour Eorezo qui n est pas infectueux (voir ici) -
suite d'hier rapport hijackthis (errorsafe)
Jack_Burton a répondu à un(e) sujet de terga dans Analyses et éradication malwares
Re bonjour, Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". As tu toujours des dysfonctionnements? -
suite d'hier rapport hijackthis (errorsafe)
Jack_Burton a répondu à un(e) sujet de terga dans Analyses et éradication malwares
Bonjour, Fallait poster a la suite de la 1ere discussion c est a dire ici! N ouvre plus de nouvelles discussions! Tu répondras sur CETTE discussion a présent! Ton rapport est incomplet! Il manque le début avec la référence du systeme d exploitation!! Infection par lop sur ce rapport, installé avec les sponsors néfastes de Messenger Plus! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *télécharge lopremover http://clairvoyant.p2pforum.it/tools/lopremover.zip Dézippe le 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MessengerPlus! 3<---tu le réinstalleras ultérieurement sans les sponsors 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/8SE/1?http://toolbar.msn....&CM=MsgrInstall R3 - Default URLSearchHook is missing O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TESTPING] C:\DOCUME~1\Lili\APPLIC~1\ONECLO~1\Soft Open Load.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\MessengerPlus! 3<---supprime tout le dossier -C:\DOCUME~1\Lili\APPLIC~1\ONECLO~1<---supprime tout le dossier 7/ exécuter Lopremover Tu le lances, tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL Redémarrer NB : il se peut que ton antivirus s’exite, désactive le le temps de la manipulation 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Reconfigure ta page de démarrage dans les options de ton navigateur web -
rapports HijackThis
Jack_Burton a répondu à un(e) sujet de clda dans Analyses et éradication malwares
Bonsoir et bienvenu sur le forum sécurité de zebulon, J analyse ton rapport (le dernier de la soirée car je commence a etre fatigué ) Réponse dans un moment Re bonsoir, Commence par désintaller un antivirus (Antivir) via "panneau de configuration/ajout-suppression de programmes" 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.trendmicro-europe.com/fr/pc-cil...0393F3B30383008 O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1073.dll,InstantAccess O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/instal...hidden-test.cab O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - http://scripts.downloadv3.com/binaries/P2E..._1048_FR_XP.cab O16 - DPF: {3AEA6239-7D97-4B70-A342-A824B55E5A5B} (Adam Class) - http://htmldialer.parisvoyeur.com/CABSPOLY...,3,8/fr/Eve.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127505814559 O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://kit.carpediem.fr/12449/CD/MadameSalope.exe O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - http://scripts.downloadv3.com/binaries/EGD...ESS_1073_XP.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\web<---vide le dossier -EGDACCESS_1073.dll<--supprime le fichier ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [instant Access] rundll32.exe EGDACCESS_1073.dll,InstantAccess<---supprime si présent Ferme ensuite le registre. 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido -
Analyse d'un log hijack
Jack_Burton a répondu à un(e) sujet de ZouBaB dans Analyses et éradication malwares
Bonsoir ZouBaB et bienvenu sur le forum sécurité de zebulon, Ton rapport ne montre rien d infectueux! Nous allons néanmoins fixer quelques lignes inutiles! lance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CTFMon] C:\WINDOWS\System32\CTF\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133866462640 O16 - DPF: {73F7A062-8829-11D1-B550-006097242D8D} (Voxware MetaSound Audio Decoder) - http://support.ninthhouse.com/updates/installers/voxacm.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Ensuite fais ceci : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer -
Bon ti_youles, voila ce que tu vas faire pour le moment : Commence par désinstaller via "panneau de configuration/ajout-suppression de programmes" SpySweeper car il est en conflit avec Ewido!! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Mets a jour Ewido : Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/?.home=msgr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CamTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunServices: [Outlook Express] aqayq.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\Exif Launcher\QuickDCF.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/ O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -video_32sD.exe -aqayq.exe ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [NVIDIA Video drivers] video_32sD.exe *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [Outlook Express] aqayq.exe Ferme ensuite le registre. 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido