Jack_Burton

Bonsoir et bienvenu sur le forum sécurité de zebulon, Je confirme, tu es bien infecté. Je t'invite a suivre dans un premier temps notre procédure préliminaire :

Tu utilises quoi comme navigateur web?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Documents and Settings\Propriétaire.LAUNAY-G9ZJ6T1T\Application Data\m<----supprime tout le dossier 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Redémarre en mode normal. poste le rapport dans ta réponse accompagné d'un nouveau rapport hijackthis.

Bon ben ton rapport était donc complet. Je vois une infection. Je te prépare une procédure. Dans celle-ci, tu devras télécharger l'anti-malware Ewido, en espérant que tu y arrives... Croisons les doigts. Je démarre une analyse, réponse dans un moment.

Le rapport semble incomplet. Il doit manquer des lignes 023. Pourrais-tu faire un nouveau scan avec hijackthis et le poster en prenant soin de faire un copier/coller de l'ensemble du rapport. Merci

Ok,

Bonsoir et bienvenu sur le forum sécurité de zebulon, Comment ça, tu n'arrives plus à télécharger d'antivirus? Juste les antivirus? Ou tu ne peux plus rien télécharger du tout?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm * Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: Windows Service Manager (WSCM) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -DAP ou Download Accelerator Plus Ce logiciel intègre des spywares 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file) O2 - BHO: office_pnl.office_panel - {B53455DB-5527-4041-AC41-F86E6947AA47} - C:\WINDOWS\System32\office_pnl.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {3a4f9191-65a8-11d5-85c1-0001023952c1} (TE) - http://www.3dfunchal.com/resources/te/TE.cab O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers...ll/pinstall.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/in...nagerPlugin.CAB O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing) <--- cette ligne ne devrait plus apparaitre du fait que l'on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\DAP<--- supprime tout le dossier -C:\WINDOWS\System32\service.exe 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Redémarre en mode normal. 10/ Scan ce fichier C:\WINDOWS\System32\office_pnl.dll avec le Virusscan de Jotti 11/ Poste un nouveau rapport HijackThis à titre de vérification, accompagné des rapports générés par Ewido & Virusscan de Jotti

Re bonjour, Je démarre une analyse, réponse dans un moment

Re, Tu vas faire cela : 1/ lance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : F2 - REG:system.ini: UserInit=userinit.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 2/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : -Enregistrer ce fichier dans : Bureau -Nom du fichier : fix.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes 3/ Utilisation du fichier: fix.reg - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. 4/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Comment ça, il semble? Tu n'en es pas sûr? Ca signifie que le FixWareout n'est pas tout le temps efficace tout simplement. Que fait cette infection? Elle détourne ton DNS pour te rediriger sur des sites infectueux ou douteux. Nous allons une derniere fois réutiliser FixWareout, si cela ne fonctionne pas, je te ferais établir une connexion internet manuel (ce qui ne sera pas plus mal d'un coté). Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur. Télécharge le FixWareout d'un de ces deux sites sur le bureau: http://downloads.subratam.org/Fixwareout.exe http://swandog46.geekstogo.com/Fixwareout.exe Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes: O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8220F778-B6E4-4535-ACB9-158DF2104CE0}: NameServer = 85.255.114.92 85.255.112.112 Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Bonjour a tous, bjr janus2fr, tournedos & Médicus OS = "Operating System" ce qui donne dans la langue de Molière "Système d'exploitation".

Ok, Une fois que tu auras fini le scan avec Spybot fais cela :

Il doit donc rester des saletés dans la base de registre ce qui empeche le changement du fond d'écran. Voila ce que tu vas faire : 1/ Rélécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. 2/ Télécharge et installe Spybot Search and Destroy 1.4, mets le à jour puis scanne ton systeme avec celui-ci (tuto pour Spybot ici)

Essaye cela : -clic droit sur le bureau et sélectionner Propriétés - Propriétés de l'affichage > Personnalisation du bureau > onglet web. Sélectionner la page et supprimer puis décocher verrouiller les éléments du bureau. -puis rétablis ton fond d'écran Cela fonctionne?

Bonjour, Il existe 2 versions d'Antivir. Une gratuite et une payante (proposant plus de fonctions dont le scan des mails). Il existe Avast Antivirus, à la fois gratuit et complet (scan des mails contrairement à Antivir Free). A noter : Si vous utilisez l'antivirus Avast, ne pas installer ZoneAlarm. Ce dernier est incompatible avec certains services d'Avast.

Re bonjour, C'est bien, le rapport est propre. Je vois également que tu as installé Kerio. Parfait! As tu toujours des dysfonctionnements?

A ton service! Oui, en espérant que cela ne soit pas pour une infection Bon week-end a toi aussi

C'est correct bien que je préfere nettement Kerio a ZA. J'ai également une préférence pour Avast car contrairement a Antivir Free, il propose un scan des mails. Au bout de 30 jours, certains fonctions ne seront plus utilisables telles que l'anti-popups. Mais la fonction firewall fonctionnera toujours et sans limite de temps. De toute facon, pour éviter d'avoir des fenètres intempestives lors de la navigation, il suffit d'installer un navigateur alternatif tel que Firefox (que je t'encourage a installer si ce n'est pas déja fait) Je passe beaucoup moins de temps. Je suis actuellement en formation donc je ne peux plus etre aussi présent. Je peux venir surtout le week-end et en fin de soirée via un cyber café ou à l'école. Tu peux commencer par lire les articles consacrés à la sécurité sur le site de zebulon, ainsi que l'article sur hijackthis : http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php Pour accroitre ta connaissance, tu peux également aller sur le site & forum de mon collègue Tesgaz : http://speedweb1.free.fr/index.php Si tu as des questions, n'hésites pas a les poser. Les membres de zebulon et l'équipe sécurité se feront un plaisir a y répondre.

Bonjour, Non, le rapport est propre! Oui, c'est le bon sous-forum pour les optimisations. On peut optimiser ton systeme . Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes et des services non essentiels de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Es-tu d'accord? Quel navigateur web utilises-tu?

Re, Le rapport est propre. As tu encore des dysfonctionnements?

Re, Etrange. Nous allons le faire en 2 parties, ca passera peut etre mieux : 1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : -Enregistrer ce fichier dans : Bureau -Nom du fichier : Fix.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll Clique sur fix checked 4/ Utilisation du fichier: Fix.reg - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée. 5/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, Non, c'est bon. As tu essayé de le désinstaller completement puis de le réinstaller? Internet Explorer n'intègre pas d'anti-popups c'est pour cela que des fenetres intempestives s'ouvrent avec ce navigateur. 1/ Télécharge CWShredder http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe Lancer cwshredder et cliquer sur fix 2/ Fais un scan en ligne avec Kapersky WebScanner Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp.

Bonjour, Effectivement, tu es infecté. Voila ce que tu vas faire dans un premier temps : 1/ Dans le menu Demarrer>Executer >tape: services.msc Recherche le service avec cette orthographe exacte: France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Présence du service France Telecom Routing Table Service (FTRTSVC)! Celui-ci est installé a l insu de l utilisateur par une update de wanadoo! Il peut entrainer des dysfonctionnements sur le systeme! 2/ Applique la procédure préliminaire :

Bonjour et bienvenu sur le forum sécurité de zebulon, Dans un premier temps, je t'invite à suivre notre procédure préliminaire :