Jack_Burton

Re, Poste moi tout de meme le rapport je te prie! As tu toujours des dysfonctionnements?

Salut, Ton rapport montre des signes d infection! Je débute une analyse, réponse dans un moment! Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Instant Access 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [bqyrelxw] c:\windows\system32\bqyrelxw.exe -start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1112531877099 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -c:\windows\system32\bqyrelxw.exe -EGDACCESS_1069.dll<----ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re bonjour, J aimerais que tu scannes ton systeme avec Ewido! Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer Tu peux le faire en mode normal!

Bonjour erbaghju & S.Birkoff erbaghju pourrais tu suivre le conseil de S.Birkoff stp! Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Salut goki09 Dans un premier temps fais ceci : Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours): Clic sur le lien Free Trial sous la rubrique "SpySweeper". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Corel Network monitor worker -PENSEZ-Y<--- désinstalle ce programme si ce n est pas toi qui l a installé ou que tu ignores ce que sait! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKCU\..\Run: [Pensez-Y] C:\PROGRAM FILES\PENSEZ-Y\PENSEZ-Y.exe O9 - Extra button: Corel Network monitor worker - {6199C8A0-0804-11D9-8509-004005E49A5C} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (file missing) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {6199C8A0-0804-11D9-8509-004005E49A5C} - C:\WINDOWS\SYSTEM\INTLMAIN.DLL (file missing) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\SYSTEM\REMOVE_ME.DLL (file missing) (HKCU) O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab O16 - DPF: {CD3EBD6D-75C3-11D4-AA9D-0000E8EB9341} (Explorer Class) - http://www.pagebeamer.com/fra/update/PAGEBEAMER_V2.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20f538f35321d8...RdxIE601_fr.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRAM FILES\PENSEZ-Y<--- supprime ce dossier dans le cas ou tu ne connais pas ce logiciel ou si ce n est pas toi qui l a installé -C:\WINDOWS\SYSTEM\INTLMAIN.DLL -C:\WINDOWS\SYSTEM\REMOVE_ME.DLL 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et scanne ce fichier C:\WINDOWS\scanregw.exe avec le Visscan de jotti ! En effet c est soit un fichier légitime a windows soit un worms (voir ici)! Sur le doute je préfere te le faire scanner! 9/ Poste le rapport du Virusscan de jotti et un nouveau rapport hijackthis je te prie

Re bonjour, J analyse ton rapport, réponse dans un moment

Re bonjour, Pour le scan avec smitfraudfix, tu l as fait 2 fois avec les options1! Je ne vois pas le scan en mode sans échec avec les options 2 Tu as parlé d un 3eme rapport J en demandais que 2: - un en mode normal avec les options en 1 - un en mode sans échec avec les options en 2 J aimerais que tu refasses la manip s il te plait :

Salut, Evite les doublons : http://forum.zebulon.fr/index.php?showtopic=76651

Bonjour et bienvenu sur le forum sécurité de zebulon, J analyse ton rapport, réponse dans un moment! Re, Il n y a rien d infectueux sur ce rapport mis a part des restrictions en 06 et de nombreuses lignes inutiles Fixe ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxycfg.marketscore.com/gencfg.asp...p=1&nsv=5.2.4.5 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file) O4 - Global Startup: bttray.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present<--- fixe ces lignes si ce n est pas toi qui a mis ces restrictions a Internet Explorer! O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file) O16 - DPF: Texas Hold'em Poker by pogo - http://game1.pogo.com/applet-6.4.0.41/hold...m-ob-assets.cab O16 - DPF: Yahoo! Pool 2 - O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - N oublie pas de désinstaller un Antivirus (Antivir) Pourquoi as tu posté un rapport? As tu des dysfonctionnements? Ou voulais tu une optimisation?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mobiloo.ftm.francetelecom.fr/recher...che_avancee.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet-orange.ftm.francetelecom.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://mobiloo.ftm.francetelecom.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par OrangeFrance R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = twiny.ftm.francetelecom.fr;twiny O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [RealOne Player] C:\PROGRA~1\Real\REALON~1\CONF_U~1.VBS O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MediaPlayer] "C:\Program Files\windows media player\wmp.vbs\\" O4 - HKLM\..\Run: [TELEDIS] D:\Applis\Teledis\UserConf.exe /S O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present<--- fixe ces 2 lignes si ce n est pas toi qui a mis ces restrictions O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://mobiloo.ftm.francetelecom.fr O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/en/SysWebTelecomInt.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129565262102 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\msmsgs.exe 6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 7/ Redémarre l'ordinateur en mode normal et scanne ces 2 fichiers : -D:\Applis\Teledis\UserConf.exe -C:\windows\system32\teledis.exe avec le Virusscan de Jotti A priori rien d infectueux dans ces 2 fichiers! D apres ce que j ai trouvé Télédis est Fournisseur d'accès à Internet via le câble de télédistribution en région liégeoise. Mais je préfere m en assurer! 8/ Poste les rapports du Virusscan de jotti avec un nouveau rapport hijackthis je te prie! Edit : il fauda que tu rétablisses ta page d accueil pour ton navigateur car ton lien http://mobiloo.ftm.francetelecom.fr ne mene a rien!

Bonjour et bienvenu sur le forum sécurité de zebulon, Je démarre une analyse de ton rapport, réponse dans un moment

Salut, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Salut, Comment ca? Ce dossier est toujours présent? J aimerais que tu fasses ceci : Télécharge la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Bonjour et bienvenu sur le forum sécurité de zebulon, 1/ Dans un premier temps: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip 2/ Décompresse le, double-clique et choisis l'option 1 Poste le rapport généré. 3/ Redémarre en mode sans échec 4/ Relance le programme et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 5/ Complète par un scan HijackThis en mode sans échec que tu posteras aussi.

Bonjour et bienvenu sur le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Salut, Ton dernier rapport est propre! As tu toujours des dysfonctionnements?

Re bonsoir, Ton rapport est propre! As tu des dysfonctionnements?

Re bonsoir Essaye une réparation du systeme avec le cd de windows! Dis moi ce qu il en est stp! Re, Je viens de vérifier, je n ai pas ce fichier update.inf dans mon systeme moi et j ai aucun probleme pour installer des updates fraichement téléchargés! Cela dit je suis sur Win2000Pro...

Bonsoir Sammaël & odSen Sammaël tu peux effectivement lire ce format avec l excellent VLC! Tu peux également installer les codecs Real Alternative afin de lire ce format avec le tres bon lecteur Media Player Classic! Il en est de meme pour le format .mov de quicktime en installant Quicktime Alternative

Essaye cette manip pour ton probleme de mise a jour! Dis moi ce qu il en est stp!

Salut, Dire "bonjour" c est trop demander? Expliquer en quelques lignes ton probleme, ou ce que tu attends de l analyse est trop fatiguant? Et merci? Non ca doit également etre de trop! On est pas des machines!

Bonsoir et bienvenu sur le forum sécurité de zebulon, Ton systeme est infecté notamment par Lop installé par les sponsors de messenger plus3! Je t invite a désinstaller Messenger Plus! 3 via "panneau de configuration/ajout suppression de programmes" puis d appliquer cette procédure préliminaire :

Re Je t ai demandé de changer l emplacement de Hijackthis, sinon tu ne pourras pas conserver les sauvegardes des lignes fixées! Tant mieux car il était louche ce fichier Ton rapport est propre, je ne vois plus rien d infectueux! As tu toujours des dysfonctionnements?

Bonsoir et bienvenu sur le forum sécurité de zebulon, Je t invite a suivre la procédure préliminaire suivante : Poste le résultat sur ce forum http://forum.zebulon.fr/index.php?showforum=51