Jack_Burton

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm -Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: - Network Security Service Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll (file missing) O2 - BHO: Class - {2D6035DE-3120-DCA0-6CA3-399E0B83B881} - C:\WINDOWS\system32\addmj32.dll O2 - BHO: Class - {BFD9FA3A-C0CE-30AE-2B7C-0F987054EF24} - C:\WINDOWS\system32\netjr.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [ieyr.exe] C:\WINDOWS\system32\ieyr.exe O4 - HKLM\..\Run: [100.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\100.tmp.exe O4 - HKLM\..\Run: [101.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\101.tmp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131438419023 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkpe.exe<--- il est fort probable que cette ligne n apparaisse pas du fait que l on a stoppé le service en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\fptyd.dll -C:\WINDOWS\ntyn.dll<--- ne devrait plus etre présente ! -C:\WINDOWS\system32\addmj32.dll<---si cette dll réapparait au prochain rapport, nous repasserons par une autre procédure! -C:\WINDOWS\system32\netjr.dll<---si cette dll réapparait au prochain rapport, nous repasserons par une autre procédure! -C:\WINDOWS\system32\ieyr.exe -C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp<--- vide completement ce dossier! -C:\WINDOWS\system32\sdkpe.exe 7/ Exécute About:Buster à deux reprises 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Pas grave, vundo a été éradiqué d ou la mention (file missing) c a d "fichier manquant", au prochain fix de cette ligne, elle n apparaitra plus! J analyse le reste de ton rapport, réponse dans un moment! Arf, tu t es chopé d autres saletés entre temps Bon voila ce que je vais faire, je vais nettoyer d abort ton rapport puis je terminerais par les nouvelles dll infectueuses!

Salut, Pour les services de windows, tu peux utiliser l article de Tesgaz : http://speedweb1.free.fr/frames2.php?page=service4 Pour ton firewall Sygate : tu trouveras un tuto de sygate ici : http://www.emule-zenzone.com/modules/tutor...rial.php?tid=13 Edit : grillé par Le canard

S il s agit de vundo, tu ne pourras pas l éradiquer en supprimant simplement le fichier car il reviendra sans cesse! A présent je te demanderai de ne plus interférer la discussion et la procédure de désinfection pour cedekasme! Si tu as d autres questions poses les moi en MP! Merci de ta compréhension!

Non, aucun probleme! Plus petit non! A si, utiliser Linux!

Tu peux te contenter de ca : Avec ca, tu ne devrais pas avoir de probleme ! A moins bien sur que tu cherches a tout prix a etre infecté en cliquant n importe ou, en utilisant un logiciel de P2P et autre attitude non raisonnée!

Non, il sert a éradiquer ce genre d infection plutot résistante! Mais il y a pas que ca d infectueux sur ton rapport, mais je préfere procéder en étape!

Nous allons procéder en 2 temps : -élimination de vundo -nettoyage du reste du rapport! Imprime ces instructions: une partie de la procédure se fait en mode sans échec. Télécharge VundoFix.exe http://www.atribune.org/downloads/VundoFix.exe Un dossier VundoFix va être créé sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\ntyn.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\nytn.* Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme est en effet infecté! J analyse ton rapport, réponse dans un moment!

Re, Il n ya plus rien d infectueux sur ton rapport! As tu toujours des dysfonctionnements? Tu trouveras 3 firewalls gratuits & performants dans "les consignes de sécurité", avec des tutos pour bien les configurer, en bas pres de ma signature!

Salut, Je ne vois aucun firewall sur ton rapport! Si tu n en installes pas un ou si tu continues a garder la bouse livrée avec XP ou le SP2 tu risques de poster souvent pour une aide sur zeb!! J analyse ton rapport, réponse dans un moment Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program Files\Iomega HotBurn Pro\Autolaunch.exe" O4 - HKLM\..\Run: [usbn] C:\WINDOWS\SYSTEM32\usbn.exe -go -c402 -w O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131259028749 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\SYSTEM32\usbn.exe -C:\WINDOWS\System32\vbsys2.dll 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Salut, Ben applique la procédure préliminaire que je t ai donné plus haut! Je t ai jamais dit d analyser ton rapport tout seul Je t ai juste dit de lire le paragraphe qui répond aux questions que tu te posais dans ton 1er post! Applique la procédure préliminaire, ensuite nous analyserons ton rapport (tres infecté)

Bonjour Miaw, Désolé pour le retard de la réponse, j avais pas vu que tu avais posté une nouvelle fois! Pour ma part je n ai jamais été prof d informatique, ni prof du tout d ailleurs Bonne journée Miaw

Bonjour, Le rapport demandé dans la procédure préliminaire devait etre fait en mode sasn échec, ce qui n est pas le cas ici! Peux tu m en poster un fait en mode sans échec? Pourrais tu également me dire le nom de ton FAI (Fournisseur d Acces a Internet)?

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme est infecté! Je t invite a suivre la procédure préliminaire dans un premier temps : Concernant tes questions : tu peux lire le paragraphe Les fonctions d'HijackThis a cette page http://www.zebulon.fr/articles/analyse-rap...jack-this-2.php! Tu peux voir et remettre les lignes fixées, pour cela tu vas dans voir les sauvegardes et tu coches les lignes que tu désires remettre!

Salut, Je vois des lignes 017 douteuses : Des restrictions en 015 et une ligne nuisible en 013!! Je t invite a suivre dans un permier temps la procédure préliminaire : http://forum.zebulon.fr/index.php?showtopic=69176&st=0

Bonjour a tous, MEGATAUPE !!!! :P

Bonjour, Voila ce que tu peux fixer sans probleme : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1118096344734

Bonsoir, Ton rapport est propre, je ne vois rien d infectueux mise a part des lignes inutiles! Pourquoi cette question? As tu des dysfonctionnements?

Re, Ton rapport n a pas été fait en mode sans échec! Je te prie de m en envoyer un fait en mode sans échec, merci!

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm -Télécharge LPSfix et dézippe le sur le bureau.http://www.snapfiles.com/get/lspfix.html 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services avec cette orthographe exacte: -Remote Procedure Call (RPC) Client (RpcClient) -wmp32u (wmp32) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 5/ Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton. Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer. Coche la case "I know what I'm doing" ("Je sais ce que je fais"). Sélectionne toutes les instances de la dll suivante :msvrl.dll et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur le bouton "Finish". 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myseachexplorer.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myseachexplorer.com/sp2.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myseachexplorer.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing) F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [Windows Bootup] Systemwks32.exe O4 - HKLM\..\RunServices: [MSN Service] amsnmsgrs.exe O4 - HKCU\..\Run: [MSN Service] amsnmsgrs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123706718921 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rCabInstall.cab O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINNT\system32\rpcclient.exe (file missing) O23 - Service: wmp32u (wmp32) - Unknown owner - C:\WINNT\System32\wmpupdate.exe" -service (file missing)<---- il est fort possible que ces 2 lignes n apparaissent plus du fait que l on a stoppé les services en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) & dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRA~1\PERFEC~1<---- supprime tout le dossier -C:\WINNT\system32\xpjava.exe -C:\WINNT\system32\rpcclient.exe -C:\WINNT\System32\wmpupdate.exe -Systemwks32.exe -amsnmsgrs.exe<---ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 8/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [Windows Bootup] Systemwks32.exe<--- supprime si présent [MSN Service] amsnmsgrs.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [MSN Service] amsnmsgrs.exe<--- supprime si présent Ferme ensuite le registre. 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour et bienvenu sur le forum sécurité de zebulon, Jolie infection! J analyse ton rapport, réponse dans un moment!

Re bonjour, Ravi que tout soit rentré dans l ordre Merci pour tous ces mots gentils, ca fait plaisir a entendre ( enfin a lire ) Tu peux le faire en effet ! Je te souhaite un bon dimanche

Re bonjour, As tu toujours des dysfonctionnements?

Re bonjour, Oui réactive TeaTimer! Je te l avais fait désactiver car il aurait pu bloquer les corrections dans la base de registre! A présent tu peux le remettre!! Pour Ewido tu fais comme tu le sens! Ce logiciel est gratuit que pendant 14 jours! Libre a toi de le conserver jusqu a son expiration! Merci pour ces mots gentils Bon week end a toi aussi !