Jack_Burton

Bonjour a tous, Non, ce rapport n est pas propre du tout! Nous voyons par exemple MyWebSearch Email Plugin voir ici stimo, fais ceci : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MyWebSearch Email Plugin 2/ Applique la procédure préliminaire :

Bonjour et bienvenu sur le forum sécurité d zebulon, Malgré le SP2!!! Tu devrais plutot écrire avec "seulement" le SP2! Le SP2 n est absolument pas efficace! Il est tout a fait recommandé d installer un VRAI firewall ( parfeu) pour vraiment assurer sa protection! Celui qui est "offert" avec le SP2 est une véritable bouse qui ne controle meme pas les flux sortants! Je te conseille donc d en installer un qui pourra te protéger optimalement! Tu en trouveras 3 gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature! Pour ton probleme d infection, je t invite a suivre dans un premier temps notre procédure préliminaire :

Bonjour, Cool Ravi que ton probleme soit réglé Oui, lorsque tu désactives la restauration systeme, tu perds toutes les sauvegardes précédentes! C est nécessaire de les supprimer lorsque les sauvegardes sont infectées! A présent, puisque ton probleme est résolu et que ton systeme est propre, tu peux rétablir la restauration en suivant le tutorial que je t ai donné plus haut! Pour terminer, quelques consignes de sécurité :

Bonjour, Je te conseille de faire une connexion manuelle! Alors tu vas dans le menu "démarrer" =>paramètres" =>"connexion reseau" clique droit "ouvrir" "gestion du réseau" créer une nouvelle connexion => suivant "établir une connexion internet" configurer ma connexion manuellement => suivant se connecter en utilisant une connexion large bande =>suivant inscrire le nom du FAI =>suivant inscrire le nom d'utilisateur et mot de passe etablir cette connexion par defaut terminer

Bonsoir stimo, Ton rapport est propre! Félicitation a lomaster pour sa judicieuse analyse! Je ne vais pas plus loin dans mon commentaire, je ne te demanderais pas si tes dysfonctionnements ont été résolus! Pourquoi? Tout simplement par respect pour le "travail" de lomaster! Il a commencé cette discussion, il a proposé une tres bonne procédure de désinfection, claire, tres détaillée et bien présentée! Ce serait a mes yeux un acte irrespectueux envers lui de finir le travail qu il a si bien commencé! Par conséquent, je lui laisse la parole. Bravo lomaster, et continue dans cette voie Ca nous donnera un peu de temps a Charly et a moi meme pour souffler

Salut, Sujet en double : http://forum.zebulon.fr/index.php?showtopic=84256 Arrete de faire des discussions en double je te prie! Merci

Bonsoir et bienvenu sur le forum sécurité de zebulon, Systeme pas du tout a jour!! Il a plus de 5 ans de retard et autant de failles critiques! Ton rapport est tres infecté! Je t invite dans un premier temps a appliquer notre procédure préliminaire :

Re bonsoir, Ton systeme était infecté! 1/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Vérifie d'avoir accès à tous les fichiers 3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRAM FILES\VVSN <---supprime tout le dossier -C:\WINDOWS\GatorPdpLoudInstaller.log 4/ Redémarre en mode normal et refais un nouveau scan en ligne chez panda : http://www.pandasoftware.com/products/activescan.htm 5/ Poste le rapport généré Pas tout de suite! Attendons que ton systeme soit propre avant!

Bonsoir, Tu peux fixer également ces lignes pour optimiser au maximum! Cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background O4 - HKCU\..\Run: [TheTurtle] C:\Program Files\TheTurtle\TheTurtle.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1132497269953 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.metaboli.fr/components/Metaboli.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab Les lignes en rouge sont inutiles si tu utilises Firefox (comme je peux le voir sur ton rapport) ou tout autre navigateur alternatif Nous pouvons également aller plus loin en arretant certains services non essentiels Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Active WebCam (ACTIVEWEBCAM) -Adobe LM Service -InstallDriver Table Manager -NVIDIA Display Driver Service (NVSvc) -StarWind iSCSI Service (StarWindService) - SoundMAX Agent Service (SoundMAX Agent Service (default)) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Voila, avec tout ca, ton systeme devrait aller plus vite et te faire gagner des images en plus sur tes jeux ^^

Bonsoir, Ta restauration systeme semble etre infectée! Il vaut mieux repartir sur de bonnes bases! 1/ Désactive ta restauration systeme en suivant ce tutorial : http://www.libellules.ch/desactiver_restauration.php 2/ Fais un scan en ligne chez panda (ca fait pas de mal de changer un peu ^^) http://www.pandasoftware.com/products/activescan.htm 3/ Poste le rapport généré par le scan en ligne de panda 4/ Réactive ta restauration systeme en suivant le tutorial de l étape 1

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Command Line] wincmd.exe O4 - HKLM\..\Run: [Microsoft SDKb] mswinsdl.exe O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe O4 - HKLM\..\RunServices: [Microsoft Command Line] wincmd.exe O4 - HKLM\..\RunServices: [Microsoft SDKb] mswinsdl.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe O4 - HKCU\..\Run: [Microsoft SDKb] mswinsdl.exe O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -msnchecker.exe -wincmd.exe -mswinsdl.exe ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [MSN Checker] msnchecker.exe<---supprime si présent [Microsoft Command Line] wincmd.exe<---supprime si présent [Microsoft SDKb] mswinsdl.exe<---supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [MSN Checker] msnchecker.exe<---supprime si présent [Microsoft Command Line] wincmd.exe<---supprime si présent [Microsoft SDKb] mswinsdl.exe<---supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [MSN Checker] msnchecker.exe<---supprime si présent [Microsoft SDKb] mswinsdl.exe<---supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [MSN Checker] msnchecker.exe<---supprime si présent Ferme ensuite le registre. 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal 10/ Scanne ce fichier C:\WINNT\System32\internat.exe avec le Virusscan de jotti . Celui-ci porte le nom d un processus légitime a windows! Mais il existe un malware du meme nom qui peut se trouver dans le meme dossier donc il faut etre prudent! 11/ poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport de Ewido et du Virusscan de jotti

Bonsoir MIA & Stonangel Je démarre une analyse de ton rapport infecté! Réponse dans un moment! MIA, je te prie de ne pas écrire en majuscule s il te plait, merci!

Quant on arrive chez des gens, la moindre des choses c est de les saluer meme si on ne les connais pas! Surtout si tu attends de l aide de leur part! Donc ton excuse bidon "je ne savait pas comment cela marcher" n est meme pas acceptable!! Meme sans connaitre le fonctionnement du forum, cela fait parti du bon sens (et de la politesse) d écrire un petit "bonjour/bonsoir" avant de poster sa requete!

Bonsoir a tous, bonsoir stimo, tiklyt, Médicus 33 & lomaster, Inutile d attendre stimo, la procédure de lomaster est tres bien! Tu peux l appliquer! Félicitation lomaster Juste une petite remarque pour l utilisation de Ewido! Le configurer comme ceci pour le scan : Edit : coucou Charly

Salut, Tu te crois ou? Au Port Salut ? Tu arrives, tu postes un rapport sans meme dire "bonsoir" !! La politesse tu connais? Je commence a en avoir marre de ces personnes qui nous collent des rapports, sans rien dire de leur dysfonctionnement ou sans meme dire bonjour! Je commence a en avoir marre que nous soyons traités comme des machines, devant la fermer, et analyser betement le rapport que l on nous "soumet"! Allez, c est meme pas la peine d attendre une analyse de ma part!! A bon entendeur!

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. France Telecom Routing Table Service n est pas infectueux! Ce service est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! Donc a supprimer 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [QuickTime Task] "E:\programmes\QuickTime\qttask.exe" -atboottime O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121085676718 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing) O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\system32\vbsys2.dll 7/ lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido Poste ta réponse a la suite de cette discussion!

Bonjour a tous, bonjour Coyote70 & Médicus Effectivement, il faut éviter d ouvrir plusieurs discussions pour le meme probleme Coyote70 sinon nous risquons de faire des doublons d analyse! Je démarre une analyse, réponse dans un moment!

Bonjour a tous, bonjour guy38, bruce lee & Charly On demande a appliquer la procédure lorsque le rapport montre des signes d infection (une ou plusieurs lignes douteuses)!

Re bonsoir a tous, bonjour dreamer9 & S.Birkoff Ravi que tout refonctionne! N oublie pas ce que je t ai dit a la fin de la porcédure : installe un firewall! C est indispensable pour assurer sa protection! Si tu utilises celui "offert" par XP, je te conseille fortement de le changer car il n est pas du tout efficace! Tu en trouveras 3 gratuits et efficaces dans les consignes de sécurité ci-dessous avec des tutos pour les configurer! Installes en un!

Bonsoir, Arfff Enfin, tant pis! Refais un scan avec Ewido et cette fois-ci n oublie pas de sauvegarder le rapport afin de me l envoyer! Le rapport hijackthis est propre! Cela dit, il aurait du etre fait en mode normal! Peux tu m en poster un dans ce mode stp?

Bonsoir, Ton rapport est propre! Vide le dossier temp qui montre encore la présence du désinstallateur d Antivir : C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp<---vide ce dossier Puis scanne ton systeme avec Ewido : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Re bonjour zorro "Info" déja vue : http://forum.zebulon.fr/index.php?showtopic=83870

Bonjour veuvenoire, Pose cette question sur le forum qui traite des logiciels développés par le forum : http://forum.zebulon.fr/index.php?showforum=29 C est normal ce message! C est un message préventif afin de pouvoir revenir en arriere en cas de pépin! Tu trouveras ici un tutorial en image pour Zebprotect! Bonne journée

Bonjour zorro C est megataupe qui va etre content

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme montre des signes d infection! Je t invite a suivre dans un premier temps notre procédure préliminaire :