Jack_Burton

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\system32\hloader_exe.exe -C:\WINDOWS\system32\antiav_exe.exe -C:\WINDOWS\system32\wintems.exe 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe<--- supprime si présent [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe<--- supprime si présent [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe<--- supprime si présent [german.exe] C:\WINDOWS\system32\wintems.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : j aimerais que tu fasses scanner ce fichier C:\Windows\RUNXMLPL.exe avec le Virusscan de jotti!! Sur plusieurs forums, ce fichier a été scanné et aucun virus n a été détecté dessus! Cependant ce fichier nous est inconnu! Je suis tombé sur une ancienne procédure de ipl, il ne le fait pas supprimer donc il semble bien etre légitime mais je ne sais toujours pas ce que c est 2eme Edit : Bon app a tous

Bonjour megataupe Ok, j analyse le rapport a présent! Réponse dans un moment!

Salut, Ton systeme est infecté! Je t invite a suivre la procédure préliminaire dans un premier temps : Petite remarque : Ne pas placer Hijackthis dans un dossier temp (temporaire) sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Salut, Tu aurais du continuer la discussion sur ton 1er sujet, c est a dire ici http://forum.zebulon.fr/index.php?showtopic=79256&st=15 Tu peux essayer cette manip : Désactive le pare-feu. Lance Internet explorer.Rendez-vous sur le site http://winup.free.fr et télécharges le fichier wu_reg.cmd une fois le fichier sur la machine, il faut l'exécuter.Lorsque ce dernier demande d'appuyer sur une touche, fais-le et redémarre la machine.Relancer Internet explorer, clic sur "outils" >options internet.Puis sous l'onglet "général" supprimer les cookies, les fichiers internet temporaires et effacer l'historique.Sous l'onglet "Sécurité" cliquer sur niveau par défaut.Effectuer la même opération sur chacune des quatres zônes.Confidentialitée :par défaut. Contenu :effacer le statut SSL.Vérifier si internet explorer est le navigateur par défaut.Clic sur appliquer puis OK.Relancer Windows Update. Bon courage !!!! tiens moi au courant.

Bonjour, Tu vas sur le site que je t ai mentionné plus haut, puis tu fais un copié collé du chiffre représentant le nom du serveur a ta ligne 017 soit 202.22.224.2 ou 202.22.232.1 et tu le places dans la case IPWHOIS Lookup puis tu cliques sur WHOIS et voila!! Il reste encore des lignes inutiles que tu peux fixer sans probleme : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll Si tu désires un peu optimiser, tu peux également fixer ces lignes : O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] C:\RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [superCopier2.exe] D:\Softwares\Logiciels_utilitaires\SuperCopier2\SuperCopier2.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 En fixant ces lignes cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. On peut encore aller plus loin en désactivivant des services, si tu veux davantages optimiser fais le moi savoir! As tu toujours des dysfonctionnements? Edit : n oublie pas d installer un parfeu (un firewall), c est un élément indispensable! Tu en trouveras 3 gratuits et performants dans "les consignes de sécurité" en bas pres de ma signature avec des tutos pour les configurer!

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -WareOut 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr&tab=iw&q=...marcel%20pagnol R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [cskqor] c:\windows\system32\yhnseg.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe" O4 - HKCU\..\Run: [sAPSTR] sound64.exe O4 - HKCU\..\Run: [msag] DCC_send.exe O4 - HKCU\..\Run: [cmon14] Dest068.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: desktop(2).ini O4 - Global Startup: desktop(2).ini O4 - Global Startup: Digimax Viewer 2.1.lnk = ? O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab 6/ Supprime le(s) fichier(s) & dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\qttask.exe <-----fichier infectueux, n appartient pas a Quicktime, il existe effectivement un fichier du meme nom légitime pour le player Quicktime mais celui-ci est placé dans ce dossier C:\Program Files\QuickTime -c:\windows\system32\yhnseg.exe -C:\Program Files\WareOut<--- supprime tout le dossier -sound64.exe -DCC_send.exe -Dest068.exe<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [sAPSTR] sound64.exe<---- supprime si présent [msag] DCC_send.exe<---- supprime si présent [cmon14] Dest068.exe<---- supprime si présent Ferme ensuite le registre. Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour PANTURLE & S.Birkoff, J analyse ce rapport, réponse dans un moment!

Bonsoir neos, Ta solution n est pas tres intéressante car de cette facon tu ne peux pas sauvegarder toute la BdR! <--- Tesgaz (voir ici) C est pour cela qu il faut utiliser un logiciel comme Erunt

Salut, Tu peux utiliser l excellent logiciel Erunt! C est un logiciel gratuit! Chez moi, la sauvegarde de ma Base de Registre fait 13,5 Mo!

Salut Charly J ai trouvé ca sur dluca puis ca et encore ca et puis ca et pleins d autres! Je ne vais pas tous les faire! En tout cas, ce dluca est un vilain garnement

Re bonjour, Pour le moment je ne touche pas aux lignes 017! J attends plus de renseignements de ta part concernant le FAI de ce systeme, a quel réseau il est lié... Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm *télécharge Hoster: http://www.funkytoad.com/download/hoster.zip Dézippe le sur le bureau. 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -MsLS32 - Microsoft Path Finder Service (MSpath) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Automatic Updates] C:\dcomdde.exe O4 - HKLM\..\Run: [iZHKQ_VNV_YQYHJ] C:\WINNT\system32\fgkcypgijoyag.exe O4 - HKLM\..\Run: [msls] C:\WINNT\system32\MSLs32.exe O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131531558729 O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://software.wrn.net/mp3/full_albums.exe O23 - Service: MsLS32 - Unknown owner - C:\WINNT\MsLS32.exe O23 - Service: Microsoft Path Finder Service (MSpath) - Unknown owner - C:\WINNT\mspath.exe (file missing)<--- il est fort probable que ces 2 lignes n apparaissent plus du fait que l on a stoppé les services en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\dcomdde.exe -C:\WINNT\system32\fgkcypgijoyag.exe -C:\WINNT\system32\MSLs32.exe -C:\WINNT\MsLS32.exe -C:\WINNT\mspath.exe 7/ Ouvre Hoster et clique sur 'Restore original Hosts' 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Salut, Systeme infecté, j analyse ton rapport! Petite remarque : Ne pas placer Hijackthis dans un dossier temp (temporaire) sinon, tu ne pourras pas conserver les sauvegardes des lignes fixées! Quel est ton Fournisseur d Acces a Internet? Le systeme est lié a l'Institut National de la Santé et de la Recherche Médicale?

Bonjour a tous, Ok, alors aucun probleme pour tes lignes 017, elles sont donc justifiées! En faisant un whois ici Si tu n étais pas en Nouvelle Calédonie mais en France, ben ces lignes auraient été douteuses!

Elément additionnel du menu contextuel d'Internet Explorer pour Excel! Du superflu quoi ! Surtout que tu navigues avec firefox!

SOUNDMAN.EXE<---- configuration des cartes son AC97 intégrées dans de nombreuses carte mere! Une fois que c est configuré, on a plus besoin de la petite icone en bas pres de l horloge! Voir ici NvCplDaemon<---- gere les fréquences de la carte graphique! Si ta carte nVidia n est pas overcloquée, c est inutile! Tu peux fixer! Voir ici

et alors? Ces services ne servent a rien donc on peut fixer!! Ca n apporte que du "confort" a l utilisateur, mais ca bouffe des ressources, notamment au boot!

Bonjour a tous, bonjour Zonk, mathieu89, re bonjour S.Birkoff, Juste une petite précision : les lignes 023 reviendront a chaque redémarrage car il s agit de services! Pour les stopper completement : Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -NVIDIA Driver Helper Service (NVSvc) -Pml Driver HPZ12 -InstallDriver Table Manager (IDriverT) - Macrovision Corporation Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Tu peux rajouter ces lignes a fixer : O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

Salut marconi2, Quel genre de souci? Quels sont les dysfonctionnements remarqués? Mise a part des lignes inutiles, rien d infectueux sur ton rapport! Ton systeme n est pas du tout a jour! Je te conseille de passer par la case "WindowsUpdate"!

peinture

Bonjour jeffoul & S.Birkoff ) jeffoul, une fois que tu auras terminé la procédure fais ceci : télécharge Hoster: http://www.funkytoad.com/download/hoster.zip Dézippe le sur le bureau. Ouvre Hoster et clique sur 'Restore original Hosts'

Bonjour a tous, bjr FIFIROSNY & S.Birkoff FIFIROSNY, la procédure de S.Birkoff est a faire en mode sans échec! Ensuite fais apparaitre tous les fichiers et dossiers cachés: Vérifie d'avoir accès à tous les fichiers Avant de lancer Hijackthis désinstalle via "panneau de configuration/suppression de programmes" le logiciel néfaste (voir ici) : -MyWebSearch Email Plugin ou MyWebSearch, Ensuite suis la procédure de S.Birkoff et rajoute cette ligne a fixer : O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe Au moment de la suppression des fichiers & dossiers incriminés, supprime si présent le dossier suivant : -C:\PROGRA~1\MYWEBS~1

Le lien est bon!!! J y arrive moi!! Bon passe par celui-ci : http://www.01net.com/telecharger/windows/I...ches/13759.html J aimerais bien que tu répondes a ma question : as tu encore des dysfonctionnements? Edit : salut Charles

Bonjour pounette & angelique S il se trouve bien dans ce dossier, tu peux faire ceci : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINNT\mspath.exe 5/ Redémarre en mode normal, puis scanne ton systeme avec ton antivirus pour voir s il est toujours présent! Cependant une analyse plus poussée pourrait s imposer! Un trojan ouvre une porte et d autres vermines peuvent en profiter pour "entrer"! Je t invite donc lorsque tu auras du temps a suivre cette procédure préliminaire :

Oui effectivement, oups

L acteur qui jouait dans "la panthere rose" parole