Jack_Burton

Bonjour ngchrist & ipl

D apres toi ? Firefox évidemment! IE ne lui servira que pour les mises a jour via WindowsUpdate! As tu toujours des dysfonctionnements?

Télécharge Internet Explorer 6 SP1 ici puis installe le! Une fois cela fait, active les services nécessaires (s ils ne sont pas déja activés) pour faire les mises a jour du systeme par WindowsUpdate : Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -Mises à jour automatiques -Service de transfert intelligent en arrière-plan (BITS) -Journal des événements Double clic dessus et clic sur [automatique] puis dans : type de demarrage --> sélectionne activé. Redémarre l ordinateur! Puis fais les mises a jour via WindowsUpdate !

Ton rapport est propre! Tu peux fixer encore ces lignes inutiles : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\NATIVEL\LOCALS~1\Temp\delus.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1100000042873 Puis tu vides le dossier suivant : C:\DOCUME~1\NATIVEL\LOCALS~1\Temp<--- vide le! As tu toujours des dysfonctionnements?

Salut, Jolie infection, notamment par conhook une variante de vundo On va procéder en étape : -éradiquation de conhook -nettoyage du reste du rapport! Imprime ces instructions: une partie de la procédure se fait en mode sans échec. Télécharge VundoFix.exe http://www.atribune.org/downloads/VundoFix.exe Un dossier VundoFix va être créé sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\System32\sstqo.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\oqtss.* Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstqo.dll O20 - Winlogon Notify: sstqo - C:\WINDOWS\SYSTEM32\sstqo.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

BipBip et le Coyotte

Salut, Peux tu tout de meme répondre a mes questions?

Il suffit de suivre le tutorial de Tesgaz ! Il est tres bien expliqué et illustré, avec des captures d écran afin de ne pas se tromper!

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -ISTsvc 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://63.246.131.130/tek.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\winagent.exe /i O4 - HKLM\..\Run: [Quicktime] C:\WINDOWS\nerocheck.exe /i O4 - HKLM\..\Run: [systemboot] msnsngr.exe O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKLM\..\Run: [Microsoft System Backup] wciouj.exe O4 - HKLM\..\Run: [lsass] C:\windows\system32\elitefjg32.exe O4 - HKLM\..\Run: [byaCV÷h$æÆõÚ)–²%)ßC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ttfaqww.exe O4 - HKLM\..\Run: [byaCV÷h$æÆßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ttfaqww.exe O4 - HKLM\..\Run: [Windows Automatic Updates] C:\prz2.exe O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe O4 - HKLM\..\Run: [sVC Service] svc32.pif O4 - HKLM\..\Run: [system service75] C:\WINDOWS\etb\pokapoka75.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [systemboot] msnsngr.exe O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKLM\..\RunServices: [Microsoft Media player 9] msmedia32.exe O4 - HKLM\..\RunServices: [Microsoft System Backup] wciouj.exe O4 - HKLM\..\RunServices: [Operating System] system.exe O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe O4 - HKLM\..\RunServices: [sVC Service] svc32.pif O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE O4 - HKCU\..\Run: [systemboot] msnsngr.exe O4 - HKCU\..\Run: [Microsoft System Backup] wciouj.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe O4 - HKCU\..\Run: [sVC Service] svc32.pif O4 - HKCU\..\RunServices: [Microsoft System Backup] wciouj.exe O4 - HKCU\..\RunServices: [sVC Service] svc32.pif O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rcabinstall.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) & dossier(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\winagent.exe -C:\WINDOWS\nerocheck.exe -C:\windows\system32\elitefjg32.exe -C:\WINDOWS\ttfaqww.exe -C:\WINDOWS\etb<--- supprime tout le dossier -C:\prz2.exe -C:\Program Files\ISTsvc<--- supprime tout le dossier -setup32.exe -msnsngr.exe -SPOOLER.EXE -MSMSN7.exe -wciouj.exe -msnger.exe -svc32.pif -MSAOL32.exe -msnsngr.exe -mcafe32.exe -msmedia32.exe -system.exe<---ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 7/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [systemboot] msnsngr.exe<--- supprime si présent [Windows System Gateway ] SPOOLER.EXE<--- supprime si présent [MS MSN Menssenger 7.0] MSMSN7.exe<--- supprime si présent [Microsoft System Backup] wciouj.exe<--- supprime si présent [Microsoft messenger] msnger.exe<--- supprime si présent [sVC Service] svc32.pif<--- supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Microsoft AOL Instant Messenger] MSAOL32.exe<--- supprime si présent [systemboot] msnsngr.exe<--- supprime si présent [Windows System Gateway ] SPOOLER.EXE<--- supprime si présent [Windows Media Player] mcafe32.exe<--- supprime si présent [MS MSN Menssenger 7.0] MSMSN7.exe<--- supprime si présent [Microsoft Media player 9] msmedia32.exe<--- supprime si présent [Microsoft System Backup] wciouj.exe<--- supprime si présent [Operating System] system.exe<--- supprime si présent [Microsoft messenger] msnger.exe<--- supprime si présent [sVC Service] svc32.pif<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [Windows System Gateway ] SPOOLEREXE<--- supprime si présent [systemboot] msnsngr.exe<--- supprime si présent [Microsoft System Backup] wciouj.exe<--- supprime si présent [Microsoft messenger] msnger.exe<--- supprime si présent [sVC Service] svc32.pif<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [Microsoft System Backup] wciouj.exe<--- supprime si présent [sVC Service] svc32.pif<--- supprime si présent [Microsoft messenger] msnger.exe<--- supprime si présent Ferme ensuite le registre. 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : je ne vois aucun parfeu sur le rapport, ce qui explique cette grosse infection!

Salut, Effectivement, le systeme est tres infecté! J analyse ton rapport, réponse dans un moment! Petite précision : ne pas placer Hijackthis dans un dossier temp (temporaire) sinon vous ne pourrez pas conserver les sauvegardes des lignes fixées!

Salut, Oui, investir dans une licence légale! Tu es sur quel Fournisseur d Acces a Internet? Tes lignes 017 mentionnent ca :

Salut et bienvenu sur le forum sécurité de zebulon, Essaye en mode sans échec!

Salut, Cette dll est effectivement infectueuse et pousse a croire que ton collegue est infecté par vundo, un malware plutot coriace! La présence de vundo est caractérisée par une ligne 02 suivante : O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\vturp.dll et une ligne 020 suivante : O20 - Winlogon Notify: vturp - C:\WINDOWS\System32\vturp.dll J invite ton collegue a suivre cette procédure préliminaire dans un 1er temps :

Bonjour, Avant de commencer j ai quelques questions a te poser : - as tu Microsoft Office? <---- ce fichier est présent dans Microsoft Office ou sur win XP mais il n est pas présent sur win2000 donc si tu n as pas Office sur ton systeme c est qu il est douteux, d autant plus que la ligne exacte devrait etre cela O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe en mentionnant l emplacement exact de ce fichier, or ce n est pas le cas chez toi! J aimerais que tu me recherches ce fichier et que tu me dises son emplacement : * Vérifie d'avoir accès à tous les fichiers * utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer! -est ce toi qui a mis en place des restrictions a Internet Explorer en lignes 06? Elles n y étaient pas sur ton premier rapport! -Concernant tes lignes 017 : combien as tu d ordinateurs reliés en réseau?

Comme a son habitude, Microsoft nous livre ses correctifs pour ses systemes d exploitation! Ce mois-ci les mises a jour concernent que les versions 2000, XP, XP 64 et Windows Server 2003! Enfin quant je parle de mises a jour je devrais plutot écrire la mise a jour! Ben oui, il n y en a qu une! Plutot étrange pour des systemes aussi vulnérables! Je suppose que Grosoft a d autres choses a penser, comme préparer la sortie de leur prochaine console, et du coup combler les failles de ces gruyeres ambulants passe apres! Pour télécharger les mises a jour, arfff, la mise a jour, pardonnez moi, rendez vous sur WindowsUpdate!

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme est infecté! Dans un premier temps, je t invite a suivre la procédure prélimaire :

Ravi que tout soit rentré dans l ordre!

Je l ai donné plus haut

Salut, Ta derniere ligne n est pas infectueuse voir ici, elle est liée au logiciel WinPcap J ai parcouru vite fait ton rapport et je n y vois rien d infectueux! Je vais le regarder plus longuement! Re, Il n y a rien d infectueux sur ton rapport a part des lignes inutiles que tu peux fixer : O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120139220484

Salut, "Solution" provisoire : tu peux télécharger Process Explorer un logiciel de sysintenals, en anglais mais beaucoup plus puissant et pratique que le gestionnaire des taches livré avec XP! Une fois téléchargé tu le dézippes et tu le mets dans C:\windows\system32! Il remplacera avantageusement le gestionnaire de windows!

Re bonjour a tous, re bonjour cedekasme, Ton rapport est propre, je ne vois plus rien d infectueux! As tu toujours des dysfonctionnements? Apparemment non d apres ce que tu m as dit mais je préfere m en assurer!

C est certainement une erreur de frappe! Ou alors tu t es soualé la gueule et tu ne vois plus tres clair

Salut, Ca ne sert a rien de les fixer, elles reviendront sans cesse! Pour les lignes 23 il faut stopper le service. Pour cela : Concernant tes 2 services, oui tu peux les stopper, ils ne sont pas essentiels Tu peux meme arreter ce service également : NVIDIA Display Driver Service (NVSvc)

Re bonjour a tous, re cedekasme, Petite précision : contrairement a ce que j ai dit dans mon 1er post, tu n es pas infecté par Vundo mais par CoolWebSearch! Je me suis un peu embrouillé avec toutes ces lignes 02 infectueuses! D un coté tant mieux, ce sera plus simple a désinfecter ton systeme A tout a l heure

Bonjour tout le monde, bonjour accountmk & Charly J ai trouvé ca : http://www.silims.com/ et ca: http://www.silims.com/fonctionnalites_contenu.html dont voici un petit résumé : Cela ne semble pas etre infectueux! Edit : euhhhhhh Charly, j ai 15 000 pages sur google pour ce logiciel!!! Tu cherches avec quoi?? Il est meme téléchargeable sur telecharger.com : http://www.01net.com/windows/Internet/mote...ches/50204.html