Jack_Burton

Re bonjour, La procédure a été un succes d ou le "file missing" (fichier manquant) Fixe ces lignes avec Hijackthis en mode normal : Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [DMEWATCH] C:\PROGRA~1\OrangeBs\Watch.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\g2400chmef4a0.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". Redémarre ton systeme, puis poste moi un nouveau rapport!

Bonjour, Désinstalle un des antivirus! Personnellement, je te conseille de conserver Antivir, qui est beaucoup plus performant que AVG! Je vais te faire scanner ton systeme avec Ewido : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Edit : j ai réédité ce message afin de supprimer la procédure de eScan que j avais posté! Celle-ci était incomplete! Cela nous permet d alléger cette discussion

Bonjour, Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

Bonsoir, Merci pour le renseignement! J en avais entendu parlé mais je n en étais pas sur! Tu confirmes donc ce que j avais lu! Oui, il y a d autres outils pour Look2Me! Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.

Re bonsoir, Ce n est absolument pas infectueux! Cela dit, ce n est pas un service essentiel! Tu peux le stopper si tu le désires en procédant ainsi : Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Sony SPTI Service (SPTISRV) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. As tu des dysfonctionnements?

Bonsoir et bienvenu sur le forum sécurité de zebulon, Ton rapport montre des signes d infection! Je t invite a suivre dans un premier temps notre procédure préliminaire :

Ok c est parfait! Terminons par les inévitables consignes de sécurité : Bonne soirée

Bonsoir, Mis a part un service installé par Wanadoo a l insu de l utilisateur, susceptible d entrainer des dysfonctionnement et des lignes inutiles, je ne vois rien d infectueux sur ce rapport! Je vais tout de meme te faire supprimer le service de wanadoo! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127237758531 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---ligne qui ne devrait plus apparaitre du fait que l on a stoppé le service Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Pourquoi avoir posté un rapport? As tu des dysfonctionnements?

Relis mon post précédent! Tu en trouveras 3! Voici de bons couples antivirus/firewall : -Antivir/ZoneAlarm -Avast/Kerio As tu des dysfonctionnements?

Bonsoir clems0784 & Charly Ton rapport montre encore des infections! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -cyberz mansor (mansor) -PixelModule (pxlmdl) -ms svc host (scvhost) -Service Hosts (ServiceHost) 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-internet.fr/navig/lanceur/item9.phtml O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: cyberz mansor (mansor) - Unknown owner - C:\WINDOWS\mansor.exe (file missing) O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing) O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing) O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)<--- ces lignes ne devraient plus apparaitre du fait que l on a stoppé ces services Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\mansor.exe -C:\WINDOWS\nvidcgui.exe -C:\WINDOWS\System32\svchost32.exe -C:\WINDOWS\shost.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Je ne vois aucun parfeu (firewall) sur ce rapport! Installes en un! C est indispensable pour assurer sa protection! Tu en trouveras 3 gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature

pat_015, Déplace comme je te l ai demandé Hijackthis! Es tu installé au Canada? Si c est le cas aucun probleme pour cette ligne 017, liée a telebec, compagnie de télécommunication canadienne http://www.telebec.com/

Bonsoir, une petite remarque : Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé. Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT) puis d'y déplacer le fichier HijackThis.exe. Si tu le laisses tel qu'il est actuellement, pas de sauvegardes aisément exploitables (donc plus aucune possibilité de faire "marche arrière"). Je laisse Angélique finir

Bonsoir, Ton rapport est effectivement propre! Fixe encore ces lignes : O2 - BHO: Class - {B6EAC5D5-7625-9D74-BD90-4E45728F0B41} - (no file) O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Cependant, tu n as pas fait ce que je t ai demandé! Installe un firewall et remplace cette bouse infame de firewall de windows! As tu toujours des dysfonctionnements? Il semblerait que non! Bonsoir Angélique

Re bonsoir, La procédure n avait pas pour but de régler ton probleme avec le logiciel Xfire! Elle avait pour objectif de désinfecter ton systeme! Ton rapport est a présent propre! Pour ton probleme avec Xfire.exe, voila ce que tu vas faire : 1/ Désactive la restauration systeme a l aide de ce tuto http://www.libellules.ch/desactiver_restauration.php Tu la réactiveras ultérieurement 2/ Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer 3/ Désinstalle Xfire puis réinstalle le!

Bonsoir, Ton dernier rapport est propre! Cependant, il en manque une partie : le début de la liste avec tous les processus chargés! Postes en un autre en mode normal je te prie! Désinstalle un des antivirus

Re bonjour a tous, Mon capuccino était tres bon Allez, voici la procédure : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Mercora<--- logiciel basé sur la technologie Peer To Peer! Peut etre la source d infections virales! Par ailleurs, le P2P est contraire a la charte du forum! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.5.0_05\bin\ssv.dll (file missing) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [HP Software Update] "H:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [updReg] H:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus3] "H:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] H:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Mercora] "H:\Program Files\Mercora\MercoraClient.exe" -startup O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [EShopeeVer] "H:\WINDOWS\system32\install.exe " O4 - HKLM\..\Run: [AnyDVD] H:\Program Files\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] H:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\RunOnce: [delus] H:\DOCUME~1\Baptiste\LOCALS~1\Temp\delus.exe O4 - HKCU\..\Run: [googletalk] "H:\Program Files\Google\Google Talk\googletalk.exe" /autostart O4 - Startup: Adobe Gamma.lnk = H:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: etmin.lnk = H:\Documents and Settings\Baptiste\Mes documents\etmin.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129224718609 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossier incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -H:\Program Files\Mercora<---supprime tout le dossier -H:\WINDOWS\system32\install.exe -H:\DOCUME~1\Baptiste\LOCALS~1\Temp<--- vide le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re bonsoir, Je bois mon capuccino , puis je démarre une analyse de ton rapport! Réponse dans un moment

Ok, pas de probleme! Par ailleurs, se serait bien que tu installes un parfeu (firewall)! Je n en vois aucun sur ton rapport! C est indispensable pour assurer sa protection! A titre personnel : - Choisis Kerio si tu utilises Avast en antivirus - choisis ZoneAlarm si tu utilises Antivir en antivirus! Ne pas installer ZoneAlarm avec Avast car ils sont incompatibles Tu trouveras ces firewalls avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature! A plus tard !

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour * Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm * Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Command Service (cmdService) - Boonty Games Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -WinHound -Boonty Games<--- pas infectueux mais inutile a mes yeux! 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: Class - {424E3970-C42B-B0EE-5949-FE8987AD05F6} - C:\WINDOWS\system32\sdksd.dll (file missing) O2 - BHO: (no name) - {C4D00FB5-7E1E-424E-BF55-5ABC79DB61BC} - C:\WINDOWS\System32\pbbc.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\per.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [WinHound] C:\Program Files\WinHound\WinHound.exe O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O18 - Filter: text/html - {6338AE47-82DE-485A-9D86-E1EA024C968B} - C:\WINDOWS\System32\pbbc.dll O18 - Filter: text/plain - {6338AE47-82DE-485A-9D86-E1EA024C968B} - C:\WINDOWS\System32\pbbc.dll O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe<--- ces 2 dernieres lignes ne devraient plus apparaitre du fait que l on a stoppé les services en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) & dossiers incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\WinHound<-----supprime tout le dossier -C:\Program Files\Fichiers communs\BOONTY Shared<-----supprime tout le dossier -C:\WINDOWS\Lg<-----supprime tout le dossier -C:\DOCUME~1\Julie\LOCALS~1\Temp\se.dll -C:\WINDOWS\system32\sdksd.dll -C:\WINDOWS\System32\per.exe -C:\WINDOWS\System32\pbbc.dll -C:\WINDOWS\SYSTEM32\avpe32.dll -C:\WINDOWS\SYSTEM32\msupdate32.dll 8/ Lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 9/ Exécute About:Buster à deux reprises 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido 11/ Fais analyser ce fichier C:\WINDOWS\System32\Flmmncag.exe avec le Virusscan de jotti puis postes moi le rapport généré! Désinstalle un des antivirus Edit : désolé pour l attente de la réponse, j ai du répondre au téléphone! Oui, il fait une sauvegarde automatique! Au pire, nous te ferons créér une connexion manuelle ce qui ne sera pas plus mal, comme ca, tu pourras désinstaller le kit de connexion de Wanadoo qui lance une multitude de processus bouffant des ressources CPU inutilement!

Bonjour, C est normal que tu ne puisses plus aller sur le net! La ligne 017 n apparait plus sur le rapport! Regarde dans les sauvegardes (backup) de hijackthis et restaure la ligne 017 suivante : O17 - HKLM\System\CCS\Services\Tcpip\..\{C292D0A6-A954-4C24-A3F6-53C2AB3D486D}: NameServer = 80.10.246.1 80.10.246.132 Ton rapport montre de sérieux signes d infection! Je débute une analyse! Réponse dans un moment

Bonjour, Ton rapport montre des signes d infection! Oui, applique la procédure préliminaire, ensuite, nous éliminerons les bestioles

C est bien ce que j ai dit! Tu n as aucun parfeu Le joujou en plastoc livré avec XP est une bouse infame! Il ne filtre meme pas les flux sortants! D ailleurs, tu devrais t en rendre compte par toi meme que ce "truc" n est meme pas capable de te protéger efficacement lorsque l on voit les nombreuses infections sur ton rapport! Pourquoi avoir reposté un 2eme rapport hijackthis alors que la procédure n a pas été appliqué? Je te laisse appliquer (ou ré-appliquer) la procédure ci-dessus!

Re bonjour a tous, Infection par Lop.com notamment sur ce rapport! Celui-ci est installé par les sponsors néfastes de Messenger Plus! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm * télécharge lopremover http://forum.hijackthis.de/attachment.php?...07&d=1122499491 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MessengerPlus! 3 <---- Tu le réinstalleras ultérieurement sans les sponsors 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdxha.dll/sp.html#12047%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = HoT SaUcE R3 - Default URLSearchHook is missing O2 - BHO: Class - {B6EAC5D5-7625-9D74-BD90-4E45728F0B41} - C:\WINDOWS\iezx.dll (file missing) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sdkhe32.exe] C:\WINDOWS\system32\sdkhe32.exe O4 - HKLM\..\Run: [438.tmp] C:\DOCUME~1\arnaud\LOCALS~1\Temp\438.tmp.exe O4 - HKLM\..\Run: [439.tmp] C:\DOCUME~1\arnaud\LOCALS~1\Temp\439.tmp.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossier incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\MessengerPlus! 3<---supprime tout le dossier -C:\WINDOWS\jdxha.dll -C:\WINDOWS\iezx.dll -C:\WINDOWS\system32\sdkhe32.exe -C:\DOCUME~1\arnaud\LOCALS~1\Temp\438.tmp.exe -C:\DOCUME~1\arnaud\LOCALS~1\Temp\439.tmp.exe -C:\winstall.exe 7/ Exécuter Lopremover Tu le lances, tu inseres les chiffres dans la case, puis tu cliques sur UNINSTALL Redémarrer NB : il se peut que ton antivirus s’exite, désactive le le temps de la manipulation 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Je ne vois aucun firewall (parfeu) sur ce rapport! C est pourtant indispensable pour assurer sa sécurité sur le net! Installes en un! Tu en trouveras 3 gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature

Bonjour a tous, bonjour Angelique Bonjour NoNo605 et bienvenu sur le forum sécurité de zebulon, Pendant que tu redémarres ton systeme et que tu me postes le 2eme rapport de Smitfraudfix , je commence a analyser ton rapport, qui montre des signes d infection! Réponse dans un moment!