Jack_Burton

FM

Salut, Ce fichier fservice.exe peut etre un malware (voir ici ou ici ou bien ici) A ta place, je serais plutot satisfait de son absence Cela dit, je te conseille de suivre la procédure préliminaire et de poster le résultat sur le forum de désinfection de zebulon car si tu as été infecté par un trojan, il se peut qu il y ai encore des saletés sur ton systeme!

Bonjour et bienvenu sur le forum sécurité de zebulon, En effet, tu es infecté! Pour le moment fais ceci : 1/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -NewNet ou NEWDONET puis supprimer le dossier suivant C:\PROGRA~1\NEWDOT~1 2/ appliquer la procédure préliminaire :

Re bonjour, Effectivement, tu peux en effet etre infecté par un malware! Un rapport hijackthis propre ne signifie pas obligatoirement un systeme sain! Pour nous en assurer, tu peux faire scanner ton systeme avec Ewido : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Salut, De toute facon, tu ne peux pas envoyer de tel fichier avec un logiciel de messagerie! La taille des fichiers joints y est en effet limitée. De plus, le serveur du FAI ou de ton compte perso (genre Hotmail) ne dispose pas d une telle capacité de stockage! Je vois 3 solutions : -graver ton fichier sur DVD et l envoyer a la personne concernée -utiliser msn et transférer ton fichier (mais ca risque de prendre du temps, beaucoup de temps, et s il y a une déconnexion, il faudra recommencer depuis le début) -derniere solution : l utilisation d un logiciel peer to peer tel que Direct Connect qui permet de créer un serveur perso entres 2 personnes ou plus! Mais ne pas oublier que l utilisation d un logiciel peer to peer peut etre la source de nombreuses infections virales! Par ailleurs, l utilisation d un tel logiciel est contraire a la charte de zebulon!

Salut, Si ce n est que pour faire de la bureautique et de l Internet, tu n as pas besoin d un processeur puissant! Celeron et Sempron suffiront largement! Par contre, si tu désires en plus faire de la retouche photo, de la vidéo, jouer a des jeux 3D récents, il te faudra investir sur une machine confortable avec du P4 ou de l Athlon 64, avec une quantité de Ram raisonnable (512 minimun, 1024 conseillé) et une carte graphique optimale (geforce 6600 GT ou équivalent chez ATI)

Bonjour Pourquoi avoir posté? Rencontres tu des dysfonctionnements? Je viens de parcourir vite fait ton rapport, et a premiere vue, il n y a rien d infectueux! Je vais regarder plus longuement! Re bonjour, Je confirme ce que j ai écrit plus haut! Ton rapport est propre! Je n y vois rien d infectueux mis a part des lignes inutiles ou superflues

Bonjour, Tu as du mal appliquer la procédure, le fichier infecté est toujours présent! Nous allons reprendre : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -NvCplScan Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\system32\nvsc32.exe" -netsvcs (file missing)<----cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\system32\nvsc32.exe Ne pas confondre avec nvsvc32.exe situé dans C:\WINDOWS\system32, qui lui, est tout a fait légitime est lié a ta carte graphique Nvidia 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [NvCplScan] nvsc32.exe<----supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, Bon, le dossier incriminé est toujours présent! As tu bien appliqué la procédure? Je ne pense pas, des lignes ne devraient plus apparaitre! Nous allons reprendre : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Wtzrnc 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Pyhzg] C:\Program Files\Wtzrnc\Wtaonv.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.1.74.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) dossier incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\Wtzrnc<----supprime tout le dossier 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir a tous, Avec ton rapport Hijackthis, ce serait intéressant que tu nous listes tous les services qui tournent en tache de fond sur ton systeme! Pour cela : tu vas dans le menu "démarrer" -> "executer" et tu tapes : cmd /k net start Re, J ai parcouru vite fait ton rapport, et je n y vois rien d infectueux a premiere vue! Bon, la je n ai pas trop les idées claires, je vais au dodo, je regarderais plus longuement demain matin si personne ne s occupe de toi d ici la! Mais je pense que notre ami Charles devrait passer! Il semble etre insomiaque Bonne nuit a tous, a demain

Re bonsoir, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -NvCplScan Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe O4 - HKCU\..\Run: [PixVillage] C:\Program Files\PixVillage\pixvillage.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - Startup: Reboot.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109707307917 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {B9F3009B-976B-41C4-A992-229DCCF3367C} (CoAxTrack Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\system32\nvsc32.exe" -netsvcs (file missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -nvsc32.exe<----ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! Ne pas confondre avec nvsvc32.exe situé dans C:\WINDOWS\system32, qui lui, est tout a fait légitime est lié a ta carte graphique Nvidia 7/ Tu vas dans "démarrer", puis "programmes" et enfin "démarrage", puis supprime Reboot.exe si présent 8/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [NvCplScan] nvsc32.exe<----supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [NvCplScan] nvsc32.exe<----supprime si présent Ferme ensuite le registre. 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir, Je n ai jamais dit que la procédure préliminaire reglerait le probleme! C est juste une étape préliminaire comme son nom l indique avant l analyse de désinfection! Je démarre une analyse de ton rapport, réponse dans un moment

Re bonsoir, Les lignes qui apparaissent en rouge sur ton rapport sont celles que tu peux fixer afin d optimiser ton rapport. Celles-ci ne sont pas essentielles, elles n apportent que du "confort" a l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Libre a toi de les fixer ou pas! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Wtzrnc 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Pyhzg] C:\Program Files\Wtzrnc\Wtaonv.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\ScanSoft\NaturallySpeaking\Program\Ereg.exe" -r "C:\Program Files\ScanSoft\NaturallySpeaking\Program\ereg.ini" O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.1.74.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le dossier incriminé [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\Wtzrnc<---supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : une fois ton rapport propre, nous pourrons davantage l optimiser (si tu es d accord) en arretant notamment des services non-essentiels apparaissant en ligne 023 sur ton rapport!

Bonsoir, J analyse ton rapport, réponse dans un moment!

Salut, S il date de 2001, il ya de fortes chances que cela soit de USB1! L USB 2 a commencé a se répandre sur les cartes meres a partir de 2002 si mes souvenirs sont bons!

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *Télécharge LPSfix et dézippe le sur le bureau. http://www.snapfiles.com/get/lspfix.html 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -New.Net ou NEWDONET -MyWay 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: C:\WINDOWS\lbbho.dll - {AA9B6E1A-4813-4BFE-A43D-C981DECC1192} - C:\WINDOWS\lbbho.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) & dossiers incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\MyWay<---supprime tout le dossier -C:\WINDOWS\lbbho.dll -C:\PROGRA~1\NEWDOT~1<---supprime tout le dossier -C:\WINDOWS\System32\FTRTSVC.exe 8/ Si après la manip ci-dessous tu perds l’acces a internet : Démarre LSPFix Coche 'I know what I'm doing' Clicque sur 'Finished'. Redémarre ton PC. 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : N oubliez pas de désinstaller un des antivirus

Bonsoir, Effectivement, ce rapport est pas mal infecté! Je démarre une analyse, réponse dans un moment! Ne pas placer Hijackthis dans un dossier temp ( temporaire) sinon vous ne pourrez pas conserver les sauvegardes des lignes fixées!

Bonjour, Effectivement, il reste encore des saletés! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [msps] C:\WINNT\system32\MSPs32.exe O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\named.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINNT\system32\MSPs32.exe -C:\named.exe 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Hummm, Tu vas télécharger et installer a² free Ce logiciel est gratuit mais il faudra t enregistrer sur le site afin d avoir les mises a jour! L enregistrement nécessite une adresse mail valide! C est un anti-trojan! Je préfere Ewido mais comme tu es sur 98 celui-ci est inutilisable! Une fois A²free installé et mise a jour, tu vas scanner ton systeme avec! A la fin du scan ne supprime rien! Poste moi juste le rapport généré par le scan

J aimerais que tu fasses scanner ton systeme avec Ewido : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Bonjour, C est un peu vague tout ca!! Nous n avons ni le nom du fichier infecté, ni son emplacement! Je t invite a suivre la procédure préliminaire :

Re bonjour, Ton dernier rapport est propre! Je ne vois plus rien d infectueux! As tu toujours des dysfonctionnements? Ben pourtant sur ton rapport, il n est pas placé a l endroit que tu m indiques!

Bonjour, Ne pas placer Hijackthis dans un dossier temporaire sinon tu ne pourras pas conserver les sauvegardes des lignes fixées! Chane son emplacement! Il reste encore une saleté! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -ndt32.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 5/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [Compaq Services Drivers] ndt32.exe<---supprime si présent Ferme ensuite le registre. 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Ben si tu n as aucun antivirus tu peux effectivement conserver Antivir qui est a la fois gratuit, leger et performant!

Salut Charles C est exact, c est une variante de smitfraud (voir ici) Je passe par KillBox juste pour tester quelque chose

Salut, Je viens de parcourir vite fait ton rapport, et mis a part des lignes inutiles je n y vois rien d infectueux! Je vais le regarder plus longuement! Re bonjour a tous, Fixe ces lignes : O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM) O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} - http://www.trojanscan.com/trojanscan/TDECntrl.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\ID TECHNOLOGIES\Local Settings\Temp\EI40_\msxml4.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedCon...n/bin/cabsa.cab O16 - DPF: {D1DAAC1D-7108-490F-AC7C-B59FDA7AA96A} (ChooseAttachedFile Class) - http://www.bvrp.fr/FR/support/Formulaire_support/Caf.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/fr/t.../ActiveData.cab Ensuite scanne ton systeme avec Ewido : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer