Jack_Burton

Bonjour et bienvenu sur le forum sécurité de zebulon, Je t invite a suivre notre procédure préliminaire dans un premier temps :

Bonjour Bruce, Désolé pour hier j ai pas pu revenir! Nous sommes a présent fixés et nous avons l outil pour régler ton probleme! Il s agit bien d une variante de Haxdoor mais l autre jour, je t ai donné une ancienne version de Haxfix! Nous allons recommencer avec la derniere version ! Donc voila ce que tu vas faire : 1/ Désinstalle l ancienne version de Haxfix via le panneau de config (Ajout/Suppression de programmes ; Haxfix) 2/ Télécharge haxfix.exe (par Marckie). Sauvegarde le sur ton Bureau. Double clique sur haxfix.exe afin de l'installer (par défaut, il s'installe dans C:\Program Files). Lorsqu'installé, assure toi que "Launch HaxFix" soit coché (la boîte est cochée par défaut). Une fenêtre "DOS" avec fond rouge va apparaître. Tu verras "Press any key to continue.."; appuie sur une touche du clavier pour continuer. Ce message s'affichera : Tu dois taper ceci : axxt Appuie sur "Entrée". Si l'infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres ("Close all windows"). Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l'outil), et appuie sur "Entrée". Ton PC va redémarrer. Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt ...ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Re bonsoir, Service lié a Wanadoo voir ici Tous!!! Ils sont tous inutiles Prenons le cas d un autre FAI, Free n installe aucun service avec son kit de connexion! Une connexion manuelle est une connexion sans passer par le kit fourni par le FAI. Je te conseille donc de désinstaller ton kit de wanadoo et de te créér une connexion manuelle en suivant cette manipulation : alors tu vas dans le menu "démarrer" =>paramètres" =>"connexion reseau" clique droit "ouvrir" "gestion du réseau" créer une nouvelle connexion => suivant "établir une connexion internet" configurer ma connexion manuellement => suivant se connecter en utilisant une connexion large bande =>suivant inscrire le nom du FAI =>suivant inscrire le nom d'utilisateur et mot de passe etablir cette connexion par defaut terminer

Bonsoir et bienvenu sur le forum sécurité de zebulon, Moi je te conseille de divorcer! Ton rapport (infecté) a été fait en mode sans échec! Postes en un nouveau en mode normal je te prie! Je laisse a Charles (coucou Charly ) l analyse, je n ai pas trop le temps ce soir!

Bonsoir, Ton rapport est propre! A part ces ralentissements, quels sont les autres dysfonctionnements remarqués? Je suppose que tu as scanné ton systeme avec Ewido, cela n a rien donné? Tu pourrais créér une connexion manuelle pour optimiser tout cela! En effet, les services wanadoo sont nombreux et bouffent pas mal de ressources CPU pour rien!

Bonsoir, C est ce que nous avons fait avec le fichier reg! Télécharge Rootkit Revealer! Dézippe le puis scan ton systeme avec! Lorsque c est fini clique sur File>Save et save the results puis poste le résultat je te prie

Bonsoir, Si tu utlises Firefox avec les extensions NoScript, Adblock + flitre de Strato alors cela ne me semble pas nécessaire! SpywareGuard est surtout utile avec un navigateur utilisant l antique moteur de Internet Explorer!

Bonsoir, Lop.com est installé par les sponsors néfastes du logiciel Messenger Plus! Si tu désires t en sortir tout seul, tu peux lire cet article! Si tu veux etre guidé par un conseiller, désinstalles Messenger Plus, et appliques la procédure préliminaire et postes le résultat !

Désolé pour la réponse tardice, il y a eu une coupure de courant et mon pc était allumé C est parfait! Oui tu peux la réactiver! Edit : Bonjour Angélique

Re, le rapport a été fait en mode sans échec! Postes en un en mode normal je te prie! Ta restauration systeme était infectée! Il va falloir la désactiver pour repartir sur de bonnes bases! Désactive la en suivant ce tutorial : http://www.libellules.ch/desactiver_restauration.php

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: -Microsoft Network Service (Network) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [mlp] C:\dinst.exe O4 - HKLM\..\RunServices: [mlp] C:\dinst.exe O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe<----cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\dinst.exe -C:\WINDOWS\msnet32.exe 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mlp] C:\dinst.exe<---supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [mlp] C:\dinst.exe<---supprime si présent Ferme ensuite le registre. 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Pas étonnant, tu t es chopé d autres saletés entre temps! Installes maintenant un parfeu! Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" avec des tutos pour les configurer en bas pres de ma signature! Pendant que tu installes un parfeu, j analyse ton nouveau rapport!

Donne moi les clefs du registre s il te plait!

Ben oui !!! tu cliques sur "supprimer tout"! Tu auras certainement des fichiers que tu ne pourras pas supprimer dans le dossier C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5! C est tout a fait normal!

Salut, Ben c est pourtant tres clair!! Tu le lances, et tu nettoies le registre avec la fonctions "registre" et les fichiers inutiles avec l option "inutiles"! Tu cliques sur les cases avec les jolies croix rouges :

Salut, Beaucoup trop et risque de conflit! Désinstalles en 2 ou arrete la protection en temps réel de 2 logiciels! A la place de tous ces antispy, tu devrais plutot mettre un logiciel antihooking et de controle des applications (processguard ou winpooch par exemple)

Bonjour, Tu peux tout supprimer sans probleme! Au pire, tu pourras rétablir les lignes supprimées a l aide des sauvegardes automatiques! Oui sans probleme! Il y aura certainement certains fichiers que tu ne pourras pas supprimer dans le dossier C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 C est tout a fait normal! Attention : Ne touche pas à la fonction "doublons".

Bonjour, Te donne t il l emplacement du fichier infecté?

Bonjour a tous, bonjour Jagaumo, Coucou Charly Tu utilises eMule ! Ce logiciel ouvre 2 ports sur ton systeme! Tu es donc totalement vulnérable et tu peux te faire pirater, etre infecté meme avec ton firewall! De plus, a l installation, ce genre de logiciel propose souvent d essayer des "sponsors" qui sont tous néfastes! Il arrive meme, que ces sponsors soient installés a l insu de l utilisateur. Par ailleurs, un logiciel de Peer To Peer c est contraire a la charte du forum!

Bonsoir Angélique, Il faut faire supprimer totalement le dossier : C:\Program Files\Fichiers communs\Windows<---supprimer tout le dossier qui n est absolument pas légitime! 2 trojans méchants! Faut leur faire la peau!! Par contre, inutile de désinstaller Messenger Plus ici! Lop n est pas présent! Je me permets de reprendre ta procédure Angélique et la compléter ! kalele, fais ceci : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Freeprod Toolbar 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1036 O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\freeprod.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Network Host Service] fsfzazy32.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\freeprod.dll O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\freeprod.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\Freeprod Toolbar<---supprime tout le dossier -C:\Program Files\Fichiers communs\Windows<---supprime tout le dossier -fsfzazy32.exe -msnq3insller.exe ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Network Host Service] fsfzazy32.exe<----supprime si présent [MS Unix Binary] msnq3insller.exe<----supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary] msnq3insller.exe<----supprime si présent Ferme ensuite le registre. 8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido Ton systeme n a aucune protection! Il faudra absolument installer un firewall (parfeu)! Tu en trouveras 3 gratuits & performants dans "les consignes de sécurité" avec des tutos pour les configurer en bas pres de ma signature

Bonsoir, Non ca ne va pas te désactiver ZoneAlarm! Comme l indique le nom du service, il s agit du parfeu de windows! Celui livré avec XP! Si tu utilises ZA, tu peux le désactiver!

Bonsoir, Désolé pour la réponse tardive! Ton dernier rapport est propre! Tu peux néanmoins fixer ces lignes inutiles sur ton rapport : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe N oublie pas de rétablir ta page de démarrage dans les options de ton navigateur! As tu toujours des dysfonctionnements?

Pour Microsoft antispy, je pense que tu devrais avoir une petite icone pres de l horloge en bas a droite (une boule rouge/ orange je crois bien)! Clique droit dessus et désactive le (arrete le programme)!

Pas de probleme, je comprends tout a fait! Oui, c est ce que je te demande de faire dans cette nouvelle procédure avec l édition d un fichier reg! Bonne nuit, @ demain

Bon, c est déja beaucoup plus propre mais une nouvelle saleté est apparue entre temps! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. * désactive la protection résidente de a squared et microsoft antspyware car ils peuvent bloquer les corrections dans la base de registre 1/ Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Il semblerait que tu ais déja Ewido! Si c est le cas, mets le simplement a jour comme indiqué ci-dessus 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [nctosqea] c:\windows\system32\nctosqea.exe nctosqea Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\windows\system32\nctosqea.exe 6/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido