Jack_Burton

Bonsoir, Essaye cette manip : http://www.zebulon.fr/astuces/tip186/React...des-taches.html, Tiens nous au courant je te prie!

Re bonsoir Miaw Ton dernier rapport est propre, je ne vois plus rien d infectueux As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip puis tu le dézippes sur le Bureau. 2/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -P.S.Guard 4/ Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1 Postes le rapport. 5/ Redémarre en mode sans échec Relance SmitfraudFix et choisis cette fois l'option 2 et réponds oui à tout Redemarre et donne le nouveau rapport. 6/ Complète par un scan HijackThis en mode sans échec que tu posteras aussi.

Re bonsoir, J analyse ton rapport, réponse dans un moment!

Re, Oui c est normal car nous avons stoppé le service! Mais j ai rajouté ceci pour etre sur que le processus a été arreté! 2 précautions valent mieux qu une! Continue la procédure étape par étape je te prie! Bon app a tous

Bonsoir megataupe T en fais pas megataupe, ce trojan est "facile" a éradiquer, je me suis fait la main hier avec le rapport de fraggy qui avait la meme bestiole

Bonsoir S.Birkoff, Bonsoir et bienvenu sur le forum sécurité de zebulon Roncevaux, Tu as apparamment oublié une partie du rapport, notamment les lignes 023! Lorsque tu auras appliqué la procédure, fais attention a poster l ensemble du rapport!

Le virusscan de jotti n a rien trouvé... Mais je ne sais toujours pas a quoi correspond ce fichier!! Si un zebulonien trouve des renseignements dessus qu il n hésite pas a nous le faire savoir! Pour le moment nous n allons pas y toucher! Pour wininet : combien as tu de fichier de ce nom?? Normalement il ne doit en avoir qu un seul dans le dossier C:\WINDOWS\system32! Ok, j attends que tu finisses, bonne chance

Bonsoir, As tu suivi la procédure préliminaire? Si ce n est pas le cas je t invite a la suivre : Il y a quelques lignes infectueuses mais rien de bien méchant!

C:\WINDOWS\SYSTEM32\VESWinlogon.dll , j aimerais que tu le fasses analyser par le Virusscan de jotti! Pour le moment nous n allons pas le supprimer, ce fichier nous est inconnu! Ce n est pas un virus ce fichier! Je l ai également sur mon systeme est dans le meme dossier! Chez moi il fait 567 Ko! Regarde la taille et la date de ton fichier!

Re bonjour, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm -Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -Apgru -Xecutor<--- désinstalle ce logiciel si tu ne sais pas ce que c est ou si ce n est pas toi qui l a installé 5/ Démarrer->exécuter-> tape services.msc Recherche les services avec cette orthographe exacte: -France Telecom Routing Table Service (FTRTSVC) -Power Manager (PowerManager) Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. -HijackThis -> "Open the misc tools section" -> "Open Process Manager" -Sélectionne: C:\WINDOWS\System32\FTRTSVC.exe -> clique "Kill Process". -Cliques sur "Back" puis "Scan"... et coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL O2 - BHO: (no name) - {6B677164-88E1-47D1-9C82-1ECAFC591C92} - C:\WINDOWS\system32\hmdj.dll (file missing) O4 - HKLM\..\Run: [ssgeypbk] C:\Program Files\Apgru\Ntpf.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [ea_cleanup] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ea_cleanup.exe /cleanup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE O4 - Startup: Xecutor.lnk = C:\Program Files\Xecutor\xecutor.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_nos_med.exe O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131149911953 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1131150978062 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)<--- il y a de fortes chances que ces lignes n apparaissent plus du fait que l on a stoppé les services en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) & dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL -C:\WINDOWS\system32\hmdj.dll<---- normalement on doit utiliser vundofix pour l éradiquer mais tout a l heure ca n a pas marché donc je tente pour le moment ma chance comme ca! -C:\Program Files\Apgru<--- supprime le dossier -C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp<--- vide complement ce dossier! -C:\Program Files\Xecutor<--- supprime si dossier si tu as désinstallé ce logiciel (dans le cas ou tu ne le connaissais pas, ou si ce n était pas toi qui l avait installé! -C:\WINDOWS\System32\FTRTSVC.exe -C:\WINDOWS\svchost.exe -ALCMTR.EXE<--- ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 7/ Exécute About:Buster à deux reprises 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bon, vundo est toujours présent et la procédure ne comportait pas d erreur cette fois ci! Alors la je calle Je vais nettoyer le reste et reviendrais sur vundo (est ce vraiment lui ou avons nous affaire a une variante?) J analyse le reste du rapport, réponse dans un moment!

Bonsoir et bienvenu sur le forum sécurité de zebulon, Tu es infecté! Je t invite a suivre la procédure préliminaire dans un premier temps :

Re Miaw, Vundo toujours présent, tu n y es pour rien, c est encore de ma faute, je n arrete pas de faire des bourdes aujourd'hui! Je te redemande de refaire une nouvelle procédure : Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8) En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat Une commande va s'ouvrir et tu verras ceci: Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\hmdj.dll Appuie sur Entrée Ensuite tu verras: A ce moment entre le chemin exact du fichier suivant: C:\WINDOWS\system32\jdmh.*<--- j avais oublié de préciser le .* Appuie sur entrée pour continuer Lance Hijackthis : Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED: O2 - BHO: (no name) - {6B677164-88E1-47D1-9C82-1ECAFC591C92} - C:\WINDOWS\system32\hmdj.dll (file missing) O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll Ferme ensuite HijackThis, puis cliquer "Entrée" pour fermer le programme (VundoFix) Redémarrer normallement ("Démarrer" >> " Arrêter l'ordinateur" >> "Redémarrer" Fais ce scan en ligne: http://housecall.trendmicro.com/hous...start_corp.asp Autorise les à désinfecter Poste le rapport du scan dans ta prochaine réponse. Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix. Vraiment navré de toutes ces maladresses, aujourd hui, je suis vraiment a coté de la plaque, je préfere décrocher pour la journée! Je dois peut etre saturer et du coup je fais des erreurs! Refais cette derniere procédure (cette fois sans erreurs ), puis un autre membre prendra la releve. Stonangel est dans le coin, tu seras entre de bonnes mains. Bon week end a tous Désolé encore pour ces désagréments Miaw

Ravi que tout soit rentré dans l ordre!

Parfaitement, désolé, faute de frappe! TU dois rentré C:\WINDOWS\system32\jdmh.* Ben dis donc, je ne dois pas vraiment etre réveillé aujourd'hui Pour faire un Chkdsk : Le scandisk n existe plus pour XP, a présent on parle de Chkdsk

Ok c est parfait!

Ton rapport est propre! As tu des dysfonctionnements?

C est vrai tout le monde fait des erreurs. Cependant, cette procédure n est pas nouvelle, je l a fait appliquer souvent donc je n aurais pas du me tromper. A cause de cela, je te fais perdre du temps a te faire réappliquer la procédure et je m en veux pour ca!

Ok Gataway! Je t ai laissé une petite procédure a faire sur ta discussion a cet endroit http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=603565

Bonjour Bubidyn, re bonjour Charles Ton dernier rapport est propre Bubidyn! As tu toujours des dysfonctionnements?

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOCUME~1\CHARLI~1\LOCALS~1\Temp\MsgPlusUninst.bat" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Vide le dossier suivant : C:\DOCUME~1\CHARLI~1\LOCALS~1\Temp<--- vide le! 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. PS : désolé pour l attente mais j arrivais plus a naviguer sur le forum

Salut Gataway, Nous sommes bénévoles, nous ne sommes pas constamment devant nos pc, il vous faut donc patienter quelque fois! Je regarde ton rapport, réponse dans un instant!

Oui je suis d acccord, mais il faut tout de meme que tu appliques cette procédure préliminaire si tu ne l as pas déja fait! Charles a déplacé ton rapport pour ne pas interférer la discussion d un autre membre, en l occurence gataway! A présent, tu as ta propre discussion!

Bonjour raleba, rebonjour Charly Désolé de poster ici : Charles ta boite MP est pleine, peux tu la vider, j ai un message a t envoyer, merci