Jack_Burton

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -eMule<---certainement la source de tes infections. Par ailleurs, c est contraire a la charte du forum -wwir<----désinstalle ce programme si ce n est pas toi qui l a installé ou si tu ignores ce que c est! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe O4 - HKCU\..\Run: [wwir] C:\PROGRA~1\FICHIE~1\wwir\wwirm.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\swellstyle.dll (file missing) O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossiers incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\secure32.html -c:\windows\timessquare.exe -C:\winstall.exe -C:\PROGRA~1\FICHIE~1\wwir<---supprime tout le dossier si ce n est pas toi qui l a installé ou si tu ignores ce que s est! -C:\Program Files\eMule<---supprime tout le dossier -C:\WINDOWS\system32\swellstyle.dll -C:\WINDOWS\system32\msctl32.dll 7/ Lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis ainsi que le rapport généré par Ewido Désinstalle un des antivirus Reconfigure ta page de démarrage dans les options de ton navigateur web

Bonjour tarek, benhiegel & angelique, bonjour a tous, Son rapport montre 2 antivirus car il a installé Antivir pour la procédure préliminaire! Autre point : e mule est certainement la raison de son infection! Les logiciels de Peer to Peer sont des sources d infection! N oublions pas que lorsque l on utilise ce genre de logiciel, on autorise son firewall a ouvrir 2 ports sur son systeme, 2 grandes portes ouvertes pour l intrusion et le piratage! tarek, ton systeme est tres infecté! Je démarre une analyse, réponse dans un moment

Bonsoir a tous, Les mises a jour pour Windows sont disponibles! Comme pour le mois dernier, Grosoft ne s est pas trop foulé! Ben oui, il n y en a que 2 dont 1 pour Internet Explorer (alors que l on sait tres bien qu il [iE] a encore de tres nombreuses failles a combler)! Microsoft doit avoir d autres choses a faire! Qui a parlé de Xbox360? Pour les télécharger, direction WindowsUpdate!

Re bonjour, Ton rapport est toujours propre! Ewido n a rien trouvé! Juste des cookies donc rien d infectueux! Je ne pense donc pas a une anomalie due a une infection virale! Je remarque sur ton rapport que beaucoup de programmes & de services se lancent au démarrage! Certains ne sont pas essentiels! Peut etre qu en optimisant cela, tout rentrera dans l ordre! Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE.

Doublon : http://forum.zebulon.fr/index.php?showtopic=81962 Il fallait poster ton nouveau rapport a la suite de la 1ere discussion !

Salut, Arreter emule et le désinstaller! Ensuite suis cette procédure : Ne pas placer Hijackthis dans un dossier TEMP (temporaire) sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Re bonjour, Bon rien de méchant sur ce rapport mis a part le spyware installé par les puces audio Realtek AC97 Audio intégrées dans de nombreuses cartes meres! Je vais te proposer une procédure pour éliminer la trace de ce spyware. Mais afin de gagner du temps, je vais intégrer a la procédure un scan avec Ewido pour m assurer qu il n y ai rien d autres sur ton systeme! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. 2/ Redémarre en mode sans échec. (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -ALCMTR.EXE<----ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! Il se peut meme qu il y en ai plusieurs! Supprime les tous! 6/ Lancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis ainsi que le rapport généré par Ewido!

Bonjour a tous, J analyse ton rapport, réponse dans un moment!

Bonjour, Lop s installe notammment avec les sponsors de Messenger Plus! Il faut tout d abort commencer par désinstaller completement Messenger Plus, puis supprimer son dossier dans "program Files" et enfin passer un coup de Lopremover téléchargeable a cette adresse http://www.thespykiller.co.uk/files/lopremover.exe! Si tu désires nous pouvons te guider! Pour cela, poste un rapport hijackthis sur ce sous-forum http://forum.zebulon.fr/index.php?showforum=51

Bonjour lyli et soit la bienvenue sur le forum séurité de zebulon, Il pourrait s agir d une infection virale! C est pour cette raison que je t invite a suivre dans un premier temps notre procédure préliminaire :

Bonjour, Au lieu de rentrer l adresse des sites, tu devrais peut etre bloquer les sites prohibés par mots clefs!! C est possible d apres ce que j ai trouvé sur wooweb

Bonjour megataupe & S.Birkoff Merci pour l info! C est étrange tout de meme! Il m était impossible de faire la mise a jour en passant par "outils/extensions/mise a jour" dans les options de Firefox! Lorsque j ai fais cela, il me disait qu aucune mise a jour était disponible J ai été obligé de passer par le site pour l installer ! Enfin bon voila! C est vrai qu elle se fait attendre!!! Déja que nous n avons pas eu de version 1.07...

Bonjour a tous, maxipouss, as tu des dysfonctionnements?

Bonjour, La bonne attitude c est de laisser tomber le pitoyable parfeu du SP2 et d en installer un vrai! Tu en trouveras 3 gratuits et performants dans les "consignes de sécurité" en bas pres de ma signature! As tu encore des dysfonctionnements?

Bonjour, Non, nous t avons pas oublié mais nous avons aussi une vie a coté et des obligations qui nous empechent d etre disponibles 24h/24 Oui, tu peux réactiver ta restauration systeme! Je t avais demandé de la désactiver car elle montrait des signes d infection! A présent plus de probleme! As tu toujours des dysfonctionnements?

Re bonjour, Ton rapport est propre! Tu peux encore fixer ces lignes inutiles avec Hijackthis : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm As tu encore des dysfonctionnements?

Salut, Tu peux utiliser le tutorial de Yann, l administrateur de zebulon! ce tuto est basé sur une ancienne version mais je pense que cela peut encore servir pour la derniere version

Re bonjour, Ok, tant mieux Non, tu reprendras ce sujet si possible! Ca nous évite de faire des doublons d analyse! Oui, il existe bien mieux et gratuit Tu peux opter pour Antivir ( http://www.free-av.com ) que tu peux configurer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) Le seul probleme d antivir c est qu il ne scanne pas tes emails a la reception! Ou alors tu as Avast! 4.6 que je trouve plus intéressant et complet qu Antivir! C est par ailleurs l antivirus que j utilise depuis plusieurs années! Il prend un peu plus de ressources qu Antivir mais il est plus complet! Avast scanne les e-mails! -Avast! 4.6 téléchargeable ici. Tu trouveras un tutorial pour celui-ci sur ce lien Un enregistrement gratuit est nécessaire pour avoir les mises a jour! Celui-ci ce fait ici

Bonjour, Pour réparer Outlook Express tu peux essayer cette manip suivant ta version! Oui, beaucoup mieux meme, c est Mozilla Thunderbird!

Bonjour et bienvenu sur le forum sécurité de zebulon, Nous allons commencer par nous débarrasser de smitfraud ensuite nous nous occuperons du reste du rapport! 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode sans échec que tu posteras aussi.

Il me le fallait en mode normal comme c est précisé dans la procédure : Peux tu me le faire maintenant? Celui en mode sans échec est propre! Il y a de fortes chances que cela soit la meme chose en mode normal mais je préfere m en assurer

Re bonjour, Sur les 32, il y en a 30 qui correspondent a des cookies donc rien d infectueux! Oui, il est tres bien! Je l utilise et je le fais utiliser tres souvent! As tu toujours des dysfonctionnements?

Bonjour a tous, bonjour maxipouss & ipl Attends!!! Tu n as pas fait la procédure!! Je n ai pas eu le rapport Hijackthis a titre de vérification (étape 7 de la procédure) afin de m assurer qu il est propre!! Je l attends! Merci

Salut, Ce sont de fausses alertes de Pest Patrol!! J ai également ces lignes dans la base de registre!!! Pest Patrol est un logiciel tres pointilleux! Les fausses alertes ne sont pas rares avec lui!! Tu peux toujours faire ceci : Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Bonjour, Je viens de survoler ton rapport et je n y vois rien d infectueux! Qu est ce que tu entends par "ça ressemble étrangement aux premiers bugs d'un virus"? Quels sont les dysfonctionnements que tu remarques? Pour le moment voila ce que tu vas faire : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer