Jack_Burton

Bonjour et bienvenu sur le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour a tous, Je reprends le sujet de Jumpin'JAck FLash pour vous annoncer la mise a jour du filtre de strato pour les extensions Adblock & Adblock Plus! Vous pouvez le télécharger ici! La mise a jour concerne seulement la version complete ( les pubs et les stats)! La version "light" date toujours du 5 novembre!

Salut, J analyse ton rapport, réponse dans un moment! Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Belgacom Skynet O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\RunServices: [MS Unix Binary] trmupdate.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MS Unix Binary] trmupdate.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -trmupdate.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [MS Unix Binary] trmupdate.exe *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary] trmupdate.exe Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour, Il y a beaucoup de services inutiles! Nous pouvons en stopper un certains nombre afin d optimiser ta machine! Je vais laisser Tesgaz te dire quels services désactiver! Je vais lui envoyer un MP afin qu il puisse venir ici pour te répondre! Concernant tes fichiers "infectés" trouvés par Ewido, 90% sont des cookies donc rien d infectueux a ca!

Bonjour, Ce n est pas un virus!! NDETECT.EXE est un fichier légitime de symantec (voir ici ou ici notamment) Il s agit fausse alerte d avast! Avais tu Norton antivirus avant d installer Avast? A part cette alerte d avast, as tu des dysfonctionnements? Etrange ce que t as écrit SpySweeper! Ta base de registre serait elle endommagée? Je vais chercher ce que signifie cette "alerte" de spysweeper! Il va peut etre falloir réparer la base de registre!

Bonjour Qc001 Merci pour toutes ces précisions! Donc si j ai bien compris CWShredder éradique Look2Me que dans la théorie mais pas en pratique! Qc001 que sais tu de a² free? Dans sa base de définitions on peut y lire plusieurs variantes de Look2Me! Est ce que lui est en mesure de l éradiquer completement ou bien sommes nous dans le meme cas que pour CWShredder?

Bonsoir, J ai oublié de te demander dans mon dernier post un nouveau rapport Hijackthis! J aimerais que tu m en postes un afin de vérifier que Look2Me a bien été éradiqué!

Bonsoir a tous, Je vous poste un petit message pour vous annoncer la sortie de la v2.19 de CWShredder! Vous pouvez le télécharger ici J ai fais un scan avec et dans la liste des malwares pris en charge j y ai vu Look2Me! Est ce juste théorique ou cela se confirmera en pratique? Je propose aux nettoyeurs des rapports Hijackthis, lorsqu ils verront un rapport infecté par Look2Me d essayer de l éradiquer avec CWShredder afin de voir s il est bien efficace contre ce malware! Ce serait en effet intéressant que ce dernier puisse l anéantir pour plusieurs raisons : -logiciel léger et rapide a télécharger -aucune configuration pré-requise -gratuité

Bonsoir Jody et bienvenu sur le forum sécurité de zebulon, Il ne faut pas poster des rapports sur cette discussion "épinglée"! Je t ai créé une discussion pour ton probleme ici http://forum.zebulon.fr/index.php?showtopi...43entry610943 je t y ai également indiqué la procédure préliminaire a suivre dans un premier temps!

Bonsoir a tous, ci-dessous le rapport de Jody qui a posté dans la discussion épinglée "pré-nettoyage d'un pc infecté" Bonsoir Jody et bienvenu sur le forum sécurité de zebulon, Ton systeme est en effet infecté! Je t invite dans un prmier temps a suivre notre procédure préliminaire:

Bonsoir, Les lignes 023 non? Pour les stopper : Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services que tu désires arreter (les services indiqués par Tesgaz) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Edit : bonsoir Tesgaz

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -Boonty Games - BOONTY Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -SurfAccuracy -BOONTY Shared ou Boonty Games 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Program Files\AOL Toolbar\welcome.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - (no file) O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - (no file) O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file) O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file) O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [udH6W7] C:\WINDOWS\ribug.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/ O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - (no file) O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe<----cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) & dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\secure32.html -C:\Program Files\SurfAccuracy<----supprime tout le dossier -C:\WINDOWS\ribug.exe -C:\WINDOWS\system32\qttask.exe -C:\winstall.exe -C:\Program Files\Fichiers communs\BOONTY Shared<----supprime tout le dossier 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Ben j ai bien fait de te demander un nouveau rapport! Tu es infecté! J analyse ton rapport, réponse dans un moment

Imagine que le PC "attérisse" sur la voiture ou la tete d un flic Bon je dois pas me moquer!! Surtout de mes futurs collegues

Bonsoir a tous, nath-0-0 ton rapport est propre! 1/ Tu vas faire ceci : tu vas dans le menu démarrer --> executer et tu tapes cmd Ensuite dans la fenetre qui va s ouvrir tu tapes cmd /k net start Ca va lister tous les services qui tournent en tache de fond! J aimerais que tu me listes tous ces services! 2/ Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Re bonsoir, Je ne pourrais pas te faire un mémoire sur ce fichier! La seule que je puisse te dire c est qu il est infectueux donc a supprimer! Quelques forums en parlent comme celui ci ou celui-ci avec a la fin le scan de ce fichier par le virusscan de jotti qui indique ceci :

Re bonsoir C est une bonne chose J aimerais que tu me postes un nouveau rapport hijakthis stp

Re bonsoir, Pour désinstaller Norton utilises le tuto de Tesgaz : http://forum.zebulon.fr/index.php?showtopic=73027

Ravi que tout soit rentré dans l ordre!

Arfff, c est exact!!! Désolé, je n avais plus fait attention que tu étais sur 98! Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours): Clic sur le lien Free Trial sous la rubrique "SpySweeper". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Re bonjour, Ton rapport est propre! As tu toujours des dysfonctionnements?

Ok merci! Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Re, Ton rapport est propre! Ces fichiers n apparaissaient pas sur le rapport précédent! Tu peux les supprimer! Utilise CCleaner a la place! J aimerais que tu me postes un rapport Hijackthis en mode normal je te prie!

Re, Bon, Ewido n a rien trouvé! Tu peux le supprimer completement s il ne sert a rien! As tu des dysfonctionnements?