Jack_Burton

Bonsoir et bienvenu sur le forum sécurité de zebulon, Ton rapport est tres infecté!! Je t invite a suivre dans un premier temps la procédure préliminaire :

Merci pour ces mots gentils, ca fait plaisir a entendre, enfin a lire!!

Oui tu peux!! Une fois les lignes fixées, fais un scan hijackthis en mode normal puis poste moi le rapport généré!

Tu devais poster un rapport fait en mode normal Ton rapport est propre! Fixe encore ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://menu.html/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ensuite, rétabli ta page de démarrage dans les options de ton navigateur web et poste moi un rapport hijackthis fait en mode normal je te prie

Bonsoir et bienvenu sur le forum sécurité de zebulon, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge LPSfix et dézippe le sur le bureau. http://www.snapfiles.com/get/lspfix.html *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Ce service n est pas infectueux mais il peut etre la source d incompatibilité! Il n est pas essentiel! 5/ Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton. Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer. Coche la case "I know what I'm doing" ("Je sais ce que je fais"). Sélectionne toutes les instances de la dll suivante :msvrl.dll et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur le bouton "Finish". 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {1B3E3251-658E-4F03-8881-68302FE3CE9E} - file://C:\Documents and Settings\Vernaz Guy\Local Settings\Temp\FCabtmp1214.xms O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200411...meInstaller.exe O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/...ivex/hcImpl.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?326 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab O18 - Protocol: Festoon - (no CLSID) - (no file) O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -c:\windows\system32\msvrl.dll 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -MS Ins Config (MSiCFG) -WinMedia Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://menu.html/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\RunServices: [Windows Services] spoolsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O23 - Service: MS Ins Config (MSiCFG) - Unknown owner - C:\WINDOWS\msiconfig.exe (file missing) O23 - Service: WinMedia - Unknown owner - C:\WINDOWS\msmedia32.exe (file missing)<---ces 2 dernieres lignes ne devraient plus apparaitre du fait que l on a stoppé les services en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\msiconfig.exe -C:\WINDOWS\msmedia32.exe -spoolsvc.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Windows Services] spoolsvc.exe<---supprime si présent Ferme ensuite le registre. 8/ Va dans "démarrer", puis "programmes" et enfin "démarrage", puis supprime Scheduler.exe Il n est pas infectueux mais n a aucune raison de se lancer au démarrage 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : pense a désinstaller un des 2 antivirus

Bonsoir et bienvenu sur le forum sécurité de zebulon, Ton rapport montre des signes d infection! Je débute une analyse, réponse dans un moment

Oui c est parfait! Ton rapport est propre! As tu des dysfonctionnements? Bonne journée a toi aussi

Bonjour Delphine05, Je ne répondrais pas a toutes les questions, je laisse le soin a megataupe de te répondre puisqu il s est occupé de toi depuis le début! Oui, c est normal! Il met plus de temps a s ouvrir par rapport a un Internet Explorer! Cela dit, cela ne devrait etre le cas que pour le 1er lancement de l application! Une fois le logiciel lancé, il ne devrait plus etre lent! Tu peux suivre cette astuce pour accélérer Firefox ou bien installer Firetune ou FasterFox afin d optimiser davantage le navigateur! Mais ne t attends pas a des résultats impressionnants! Tout dépend! Est ce des cookies ou bien de vrais malwares nocifs (trojans et autres spywares néfastes)? Poste nous le rapport de Ewido je te prie! Oui, tu peux, comme ca, on verra si tu ne t ai rien attrapé depuis!

Re bonjour, Ton dernier rapport aurait du etre fait en mode normal Nous avons presque fini! Plus qu une petite chose a régler : 1/ Redémarre en mode sans échec. 2/ lance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : O4 - HKLM\..\RunOnce: [My Global Search Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRA~1\UNINST~1.DLL 4/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis (fait en mode normal!!) à titre de vérification. As tu toujours des dysfonctionnements

Je sais pas pourquoi, mais je sens que megataupe va répondre a ce post Je crois qu il a un petit faible pour ce ProcessGuard! Si on lui demande gentiment, il pourrait meme nous faire une these a son sujet (bonjour liamneil)

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme montre des signes d infection! Je t invite a suivre dans un premier temps notre procédure préliminaire :

Re bonjour, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MyGlobalSearch 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [EShopeeVer] "C:\WINDOWS\System32\install.exe " O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossiers incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\MyGlobalSearch<---supprime tout le dossier -C:\Program Files\NewDotNet<---supprime tout le dossier -C:\WINDOWS\System32\install.exe -C:\WINDOWS\System32\EShopee.exe 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

J analyse ton rapport! New.net n apparait plus, c est une bonne chose Mais il reste encore des saletés! Ben peut etre que l installation a échoué! Effectivement, c est plutot étrange! Bon c est pas grave! Je débute une analyse, réponse dans un petit moment!

Bonjour, Question qui va peut etre te paraitre bete mais bon : as tu créé une regle afin que Sygate autorise Outclook Express a acceder au net dans les 2 sens (connexion entrante & sortante)?

Mildoul, Ton rapport a été fait en mode sans échec! Aurais tu déja appliqué la procédure préliminaire? Si c est le cas, fais le moi savoir afin que je puisse t énoncer une procédure de désinfection

Bonjour, Tu as posté dans le mauvais sous forum! Tu aurais du le mettre dans le forum de désinfection ici Bon, ton systeme est en effet infecté, notamment par NEWDONET! Voila ce que tu vas faire dans un premier temps : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -New.Net ou NEWDONET 2/ applique ensuite la procédure préliminaire : Edit : a l attention des modérateurs : pourriez vous déplacer cette discussion dans le bon sous forum? merci

Bonjour a tous, mazoupili, ton rapport est propre! Tu peux néanmoins fixer ces lignes inutiles : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab As tu des dysfonctionnements?

Bonsoir, Oui ton rapport est propre! As tu toujours des dysfonctionnements?

Bonsoir BipBip Désolé pas vu! Moi aussi j aime pas les doublons!

Bonsoir, J analyse ton rapport, réponse dans un moment! Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [Windowfdgfds DLL fgfdg Verifier] Windowsdldfglcheck.exe O4 - HKLM\..\RunServices: [Windowfdgfds DLL fgfdg Verifier] Windowsdldfglcheck.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : - C:\WINDOWS\System32\Windowsdldfglcheck.exe 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Windowfdgfds DLL fgfdg Verifier] Windowsdldfglcheck.exe<---supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Windowfdgfds DLL fgfdg Verifier] Windowsdldfglcheck.exe<---supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir et bienvenu sur le forum sécurité de zebulon, Imprime ces instructions: une partie de la procédure se fait en mode sans échec. Télécharge VundoFix.exe http://www.atribune.org/downloads/VundoFix.exe Un dossier VundoFix va être créé sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec en tapotant F8 au démarrage Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\System32\pmkjg.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\gjkmp.* Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjg.dll O20 - Winlogon Notify: pmkjg - C:\WINDOWS\System32\pmkjg.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

C est parfait Tu peux réparer Internet Explorer avec le logiciel Power IE6

Bonjour, Tu peux essayer avec ce logiciel : Vilma Explorer

Bonjour ENAID, Ta restauration systeme était bien infectée! Nous allons la désactiver afin de repartir sur de bonnes bases! Désactive la en suivant le tutorial en image ici puis refais un scan en mode sans échec avec eScan! Lorsque cela sera terminé, poste nous le rapport généré je te prie!