Jack_Burton

Arfff Bon, nous allons bien finir par l avoir cette bipppp (censuré) de bipppppp(censuré) qui me bippppppp (censuré) Bon ben voila ce que nous allons faire : 1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : -Enregistrer ce fichier dans : Bureau -Nom du fichier : axxt32.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\SYSTEM32\axxt32.dll 5/ Utilisation du fichier: axxt32.reg - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. *Désactive la protection résidente de a-squared qui pourrait bloquer les corrections dans la base de registre! 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge ce fichier sur le bureau. Extraies et double clique sur Fix_Protocol_zones_ranges.reg. Accepte lorsqu'il te demande de fusionner avec le registre. Télécharge le FixWareout d'un de ces deux sites sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes: O17 - HKLM\System\CCS\Services\Tcpip\..\{61BB1EBB-1363-44AE-9B5F-050B0FEE0573}: NameServer = 69.50.176.158,85.255.112.8 Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -mailskinner 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.ch/redirect/startpage/adsl/fra O2 - BHO: (no name) - {295EBD13-1E00-4A85-9EAE-2B6B2DC3AC39} - (no file) O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) Ces lignes 015 ne devraient plus apparaitre O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{61BB1EBB-1363-44AE-9B5F-050B0FEE0573}: NameServer = 69.50.176.158,85.255.112.8 cette ligne ne devrait plus apparaitre également Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\program files\mailskinner<---supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification ainsi que le contenu de C:\fixwareout\report.txt Il faudra rétablir ta page de démarrage web qui a été détournée! Cela se fait dans les options de ton navigateur

Ce rapport montre en effet des signes d infection! Je t invite a faire ceci dans un premier temps : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MessengerPlus! 3<--- tu le réinstalleras ultérieurement sans les sponsors -mailskinner -SpySheriff 2/ Applique la procédure préliminaire :

Bonsoir, Ton rapport montre en effet de sérieux problemes d infection avec des logiciels néfastes et un détournement de serveurs DNS! Je démarre une analyse, réponse dans un moment

Re bonsoir Bruce, Bien vu, faut désactiver ce service et tu peux meme supprimer le fichier C:\WINDOWS\System32\FTRTSVC.exe! Il n est pas néfaste, mais cela peut entrainer des dysfonctionnement sur le systeme! Il s agit d un service installé a l insu de l utilisateur par une apdate de wanadoo! Infectueux!!! Voir ici ben dis donc, j ai bien fait de te demander un rapport hijackthis ^^ Bon voila ce que tu vas faire : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge haxfix.exe a cette adresse : http://users.telenet.be/marcvn/tools/haxfix.exe 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche les services avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) -Mouse Cursor Monitor (mousecrm) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe Ces 2 lignes 023 ne devraient plus apparaitre du fait que l on a stoppé les services en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\System32\mousecrm.exe -C:\WINDOWS\SYSTEM32\msvcrl.dll -C:\WINDOWS\SYSTEM32\axxt32.dll 7/ Lancer haxfix.exe, un repertoire HaxFix est créé, Double-cliquer sur fix.bat suivre les instructions, le pc va redémarrer. Le rapport est dans c:\haxfix.txt 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par haxfix Il faudra que tu fasses installer a ton ami un firewall & un antivirus

Je connais pas son nom mais j ai une idée pour la supprimer! Peux tu faire ce que j ai mis sur mon message précédent (que j ai réédité) : - supprimer la dll néfaste - m envoyer un rapport hijackthis Je vais manger, ensuite je m occupe de ton cas bon appétit

arffff cela ne semble pas etre look2me contrairement a ce que je pensais Pourrais tu me poster un rapport hijackthis stp? C:\WINDOWS\SYSTEM32\msvcrl.dll<---supprime déja cela en mode sans échec je t enverrais un MP pour t expliquer!

Bonsoir et bienvenu sur le forum sécurité de zebulon, Demande a ton ami d appliquer cette procédure : Edit : bonsoir Angélique

A ton service Installes un firewall & antivirus sur ton systeme, je n en vois aucun! Bonne soirée

Le dossier? Tu veux parler de BitBucket.reg non?

Bonjour et bienvenu sur le forum sécurité de zebulon, Bon, pour supprimer Lop.com ce n est pas bien compliqué! Celui-ci s installe avec les sponsors de Messenger Plus! Fais ceci : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Messenger Plus <---tu le réinstalleras ultérieurement sans les sponsors 2/ Applique notre procédure préliminaire : Tu peux si tu le désires, essayer de le supprimer tout seul en t aidant de cet article qui explique comment reconnaitre et supprimer une infection par lop.com! Cela dit, suivre la procédure préliminaire pourrait etre un plus afin de débusquer d autres infections que ton antivirus n aurait pas vu!

Bonjour, Nous allons scanner ton systeme avec eScan, un antivirus tres puissant en mdoe sans échec! Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Bonjour et bonne année a toi aussi, Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : -Enregistrer ce fichier dans : Bureau -Nom du fichier : BitBucket.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes Utilisation du fichier: BitBucket.reg - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. Redémarre le systeme pour prendre en compte la modification Est ce que le probleme persiste?

Peut etre que ces infections étaient déja présentes sur ton systeme. Ou alors, SpywareBlaster ne propose pas encore un "vaccin" contre ces bestioles!

Bonjour Pear Non, tu fais bien d intervenir, toute proposition sera la bienvenue Cependant, ce que tu dis, nous l avons déja essayé plus haut dans la discussion (voir ici ) sans succes Avec Qc001, nous faisons des recherches actuellement pour supprimer cette clef tres coriace!

Bonjour, SpywareBlaster ne scanne pas! Il permet d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur votre PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif : il ne supprime pas les spywares déjà présent mais empêche leur installation. Oui il est efficace!

Bonjour et bienvenu sur le forum sécurité de zebulon, Nous allons t aider, ne t en fais pas Je t invite dans un premier temps a suivre notre procédure préliminaire :

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton rapport montre des signes d infection! Commence par changer l emplacemement de Hijackthis : Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées! Ensuite, je t invite a suivre notre procédure préliminaire :

Bonjour a tous, Poursuivons notre série des infections typiques par un malware que l on retrouve tres souvent dans des rapports Hijackthis. Il s agit de New.net appelé également NEWDOTNET. Celui-ci est "livré" avec certains logiciels "douteux" tels que les programmes de Peer 2 Peer ou gestionnaires de téléchargement! Il peut soit etre présenté comme un sponsor du logiciel (dans ce cas, il suffit de décocher la case pour ne pas l installer) ou pire, etre installé a l insu de l utilisateur! Aujourd'hui, New.net peut etre considéré comme un vétéran dans les malwares! Il est donc tres facilement reconnu et supprimable par l ensemble des anti-spyware! 1/ Comment reconnaitre une infection par New.net? Ci-dessous un extrait de rapport hijackthis infecté par New.net ! Les lignes en rouges démontrent une infection par New.net : La présence de New.net est révélée par plusieurs choses qui ne trompent pas - la présence en lignes 04 d un dossier C:\PROGRA~1\NEWDOT~1 et de sa dll qui en dépend! - la présence de(s) ligne(s) 010 : Il arrive quelque fois que l on ne retrouve pas les deux renseignement ci-dessus dans le rapport Hijackthis! Cependant, la présence de l un ou l autre est certifiée donc, vous ne pourrez pas vous tromper dans l identification du malware 2/ Comment désinfecter un systeme par New.net? Comme je l ai dit en introduction, New.net est un malware "classique" qui est reconnu par tous les antispywares du marché (gratuits & payants)! Il n y a donc aucune difficulté pour s en débarrasser! Cela dit, il est impératif de procéder a la désinfection en mode sans échec Pourquoi cela? Car comme vous pouvez le voir en ligne 04 sur le rapport hijackthis ci-dessus, New.net intègre une dll en cours d utilisation dans le dossier C:\PROGRA~1\NEWDOT~1! Par conséquent, le mode normal pourrait poser des difficultés a supprimer un fichier en cours d utilisation (ce qui ne sera plus le cas en mode sans échec)! Quelles procédures utiliser pour supprimer New.net? Nous pouvons en distinguer deux : 1 ere méthode : une procédure classique en utilisant un antispyware tel que Spybot Search and Destroy 2eme méthode : une méthode "manuelle" a l aide d hijackthis et de deux petits utilitaires : uninstallNewdonet et Lspfix 1ere méthode : *Vous devez télécharger et installer un antispyware! A titre d exemple, je vous propose Spybot Search and Destroy car il supprime tres bien ce malware! *Une fois le logiciel installé, mettez le a jour! *Démarrez en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) *scannez votre systeme avec Spybot! Il devrait sans probleme supprimer le dossier néfaste C:\PROGRA~1\NEWDOT~1! Dans le cas ou il n aurait pas supprimé la dll en cours d utilisation, Spybot vous proposera un nouveau scan au prochain démarrage du systeme, juste avant le lancement du bureau de windows, acceptez cette demande. 2eme métode : *Téléchargez les 2 logiciels uninstallNewdonet et Lspfix * Exécutez uninstallNewdonet Tapez: X:\uninstall6_38.exe. (où X représente le lecteur Disquette A ou ton lecteur cd D, E, F,..) Cliquez sur OK. *Démarrez en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) *Désinstallez via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -New.net ou NEWDOTNET *Fixez les lignes correspondant a l infection : Prenons l exemple de l extrait du rapport ci-dessus lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s Fermez toutes les fenêtres sauf HijackThis et "Fix Checked". Il ne faut pas fixer les lignes 010 mentionnant "Hijacked Internet access by New.Net" avec hijackthis sinon vous risquez de perdre votre connexion *Une fois le(s) lignes fixée(s), il faut supprimer le(s) dossier(s) incriminé(s) : C:\PROGRA~1\NEWDOT~1<---supprimez tout le dossier *Si après la manip avec "uninstallNewdonet" vous perdez l’accès à internet : Démarrez LSPFix Cochez 'I know what I'm doing' Cliquez sur 'Finish'. Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de New.net

Je le déduis du fait de sa présence en ligne 020!

Bonjour Bruce, C est Look2Me ! Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.

Bonjour, La page de démarrage de ton navigateur Internet Explorer est représentée par cette ligne : Cela représente des restrictions aux options d internet Explorer! Je vois que tu utilises Firefox, donc toutes les lignes qui sont liées a Internet Explorer peuvent etre fixées sans probleme Tu peux donc fixer toutes ces lignes si tu le désires pour optimiser ton rapport : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

Bonjour a tous, Je commence la série des infections typiques avec un malware assez répandu car étant installé par Messenger Plus, une extension tres utilisée par les utilisateurs de MSN Messenger! Lors de l installation de Messenger Plus, on vous propose également d essayer les sponsors de ce logiciel! Beaucoup de personnes ne font pas attention a cela, cliquant sur "suivant" pour poursuivre l installation sans se soucier de ce qu ils installent! Ils le font inconsciemment, d autant plus, qu ils ne connaisssent absolument pas l existence des malwares et autres nuisances de l Internet! 1/ Comment reconnaitre une infection par lop.com? Ci-dessous un extrait de rapport hijackthis infecté par Lop.com! Les lignes en rouges démontrent une infection par lop La présence de lop.com est révélée par plusieurs choses : - des lignes Rx qui détournent la page habituelle du navigateur! - la présence en lignes 04 de Messenger Plus et d un dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data Vous trouverez ici certains exemples de processus créés par lop.com qui se localiseront dans le dossier douteux dans C:\Documents and Settings\%UserProfile%\Application Data 2/ Comment désinfecter un systeme par lop? Ce n est pas bien compliqué! Suivez le guide *Commencez par télécharger le logiciel Lopremover puis dézippez le dossier. *Redémarrez en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) *Désinstallez le logiciel MessengerPlus via "panneau de configuration/ajout-suppression de programmes" *Fixez les lignes correspondant a l infection : Prenons l exemple de l extrait du rapport ci-dessus Lancez un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fxlmjytgmfyzsizdiosbov.com/aiFF...Soxdx2FFbAT.jsp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zucnlttiamqyedfqwnjsottf.org/ai...9NWVrQhIrI.html O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [binbags] C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1\Joy Glue.exe Fermez toutes les fenêtres sauf HijackThis et "Fix Checked". *Une fois les lignes fixées, il faut supprimer les dossiers incriminés : C:\Program Files\MessengerPlus! 3<---supprimer tout le dossier C:\DOCUME~1\ADMINI~1\APPLIC~1\BOWSFU~1<---supprimez tout le dossier *A présent, il faut éxécuter le logiciel Lopremover qui va vérifier et supprimer tous les "restes" de l infection! Utilisation de Lopremover : NB : il se peut que votre antivirus s’exite, désactivez le le temps de la manipulation Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de lop Vous pouvez réinstaller Messenger Plus mais cette fois-ci prenez la précaution de ne pas cocher les sponsors lors de l installation

Bonjour AnneD & Charly SpySweeper et ZoneAlarm sont 2 logiciels totalement différents! SpySweeper est un anti malware et ZoneAlarm est un firewall (parfeu) donc tu peux conserver les 2 en temps réel sans risque de conflit! N oublie pas que SpySweeper est un logiciel payant! Dans 14 jours, tu perdras certaines fonctions dont la protection en temps réel! Attends que Charly s assure que ton systeme soit totalement sain! Une fois cela vérifié, il t indiquera comment te proteger efficacement et gratuitement! Bon, je relaisse la "parole" a Charles

Bonjour et bienvenu sur le forum sécurité de zebulon, Une remarque : Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, tu ne pourras pas conserver les sauvegardes des lignes fixées! Ton rapport est propre! Tu peux néanmoins fixer des lignes inutiles! lance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/ O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} - http://www.my-etrust.com/Support/PestScanner/pestscan.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_ansi.cab O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - (no file) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Pourquoi avoir posté un rapport? As tu des dysfonctionnements ou c était juste un rapport de routine pour vérification?