Jack_Burton

Bonsoir pollux Oui j avais tres bien vu mais je me suis trompé de fichier dans mes phrases pré-copiées, et j ai envoyé le post avant de m en apercevoir Bon je dois m absenter un moment,(petit imprévu), je ferais la procédure des mon retour dans une petite demie heure!! En tout cas jolie infection Re, désolé pour l attente, un coup de fil de ma chérie ))) Je débute l analyse, si la réponse se fait un peu attendre c est a cause de mes problemes de connexion

Salut et bienvenu sur le forum sécurité de zebulon, Commence par changer l emplacement de hijackthis Ne pas le mettre dans un dossier temps sinon tu ne pourras pas conserver les sauvegardes des lignes fixées! Je débute une analyse de ton rapport, réponse dans un moment!

Re bonsoir, Comment ca "il n y a rien"??? Nous parlons d un fichier pas d un dossier!! Tu veux dire que tu ne le vois pas?? Impossible si tu as fait apparaitre tous les dossiers & fichiers

Bonsoir a tous, bonsoir SeB_Ps2 & S.Birkoff, Juste une petite remarque : L utilisation d un logiciel p2p est source d infections virales! Par ailleurs c est contraire a la charte zebulonienne! Profites donc de la procédure préliminaire pour désinstaller emule via panneau de "configuration/suppression de programmes" !

Re bonsoir, Ben fais un copié collé dans un fichier txt! Il ne faut pas désactiver au hasard !!! C est pas bien ca Qu est ce que t attends pour abandonner cette bouse infame de IE?? Non franchement, tu devrais vivement passer a un navigateur alternatif! Je dis ca pour ton bien (enfin, pour le bien de ton systeme ) Arff, tu t es fait entuber Mais y a encore une solution : Julien Courbet et son émission "Sans aucun doute" C est vrai que c est dommage, mais rien ne t empeche de le désinstaller pour un gratuit plus léger et plus efficace! Je comprends tout a fait que c est rageant de payer pour quelque chose que l on utilise plus mais il vaut mieux cela que de le garder sur son systeme!

Bonsoir, Tu es infecté! J analyse ton rapport, réponse dans un moment! Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ewcbpfbhfueykhdobrh.info/CgWIG0...Z/L6l4hHCp8.cgi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\RunServices: [AtiDisplayDrv] atidrvxx.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : atidrvxx.exe<---- ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [AtiDisplayDrv] atidrvxx.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. PS : je tiens a te signaler que tu as des logiciels qui travaillent en tache de fond et qui font la meme chose : SpywareGuard & SpySweeper notamment! Tu devrais en désinstaller un car ils peuvent etre sources d incompatibilités!! Edit : Je n avais pas lu tous les posts de cette discussion. En analysant simplement ton dernier rapport, je n avais pas fait attention que ton premier post mentionnait l usage d un logiciel de P2P! Il y a de grandes chances que celui-ci soit la cause de certains "maux" de ton systeme! Un logiciel p2p est source d infections virales! Je te conseille vivement de le désinstaller, d autant plus que c est contraire a la charte du forum! Merci a la personne qui m a alerté par MP ( elle se reconnaitra )

Bonjour, Non pas vraiment, le but était d optimiser pas de ralentir! C est étrange en tout cas, je viens de regarder a nouveau ce que je t ai conseillé de fixer ou de désactiver en service et je ne vois rien qui pourrait expliquer cette lenteur au démarrage!! Qu as tu désactivé comme services a part celui de Nvidia et de Sony??

Salut, Si tu penses etre infecté, applique la procédure préliminaire : Je viens de parcourir vite fait ton rapport et je n y vois rien de vraiment infectueux pour le moment, j attends que tu fasses la procédure préliminaire pour regarder plus longuement! Cette dll est infectueuse en effet voir ici ! S il n y a que ca, rien de bien compliqué pour l éradiquer : 1/ Démarrage en mode sans échec 2/ Vérifie d'avoir accès à tous les fichiers 3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : C:\WINDOWS\nem220.dll 4/ Redémarrage en mode normal et nouveau scan en ligne chez panda pour voir s il détecte a nouveau cette dll infectueuse!

Re, Mise a part de nombreuses lignes inutiles je ne vois rien d infectueux sur ce rapport! Tu peux fixer ces lignes : O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Elddryn\LOCALS~1\Temp\delus.exe<---- ce fichier n est pas infectueux, il s agit du module de désinstallation de l antivirus Antivir! Cependant il ne sert a rien, donc poubelle! O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.av.fr.aol.com/molbin/share...84/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.av.fr.aol.com/molbin/share...,21/mcgdmgr.cab Vide ton dossier temp : C:\DOCUME~1\Elddryn\LOCALS~1\Temp<---- vide le dossier Quel est le logiciel qui t a détecté Winfixer? Je vois que tu as installé Ewido, c est parfait, tu vas scanner ton systeme avec et me coller son rapport je te prie!

Bonjour et bienvenu sur le forum sécurité de zebulon, Place Hijackthis ailleurs, peut importe l endroit mais pas dans un dossier temp car tu ne pourrais pas conserver les sauvegardes des lignes fixées! Cela été mentionné dans la procédure préliminaire : J analyse ton rapport, réponse dans un moment! PS : j ai des problemes de connexions, donc ne t inquiete pas si ma réponse tarde!!

Bonjour AGnesD et bienvenu sur le forum sécurité de zebulon, Il est vrai que 2 antivirus qui travaillent en tache de fond en temps réel sont sources d incompatibilités! Cependant, nous demandons dans notre procédure préliminaire l installation d Antivir sans la désinstallation de l autre antivirus du systeme de l utilisateur! Pourquoi? Tout simplement parce l utilisation d Antivir se fait seulement en mode sans échec! Il va juste servir pour le scan de la procédure préliminaire! Une fois cela fait, une fois la procédure préliminaire accomplie, nous précisons a chaque fois a l utilisateur de désinstaller antivir s il ne l a pas fait, d ailleurs c est bien précisé dans la procédure préliminaire a la "phase 3" Voila, j espere avoir bien répondu a ta question!

Tu peux essayer Avast 4.6 ou Antivir (que nous demandons d installer pour la procédure préliminaire)! Ils sont gratuits et efficaces! Tu trouveras ces derniers dans "les consignes de sécurité" en bas pres de ma signature avec des tutos pour les configurer!

Bonjour a tous, bjr 29242 & neos, Effectivement, ce fichier a été pas mal discuté, maintenant nous savons ce que c est : il s agit tout simplement du module de désinstallation de l antivirus Antivir, il n a rien d infectueux mais il est inutile donc a la poubelle comme tout le contenu des dossiers temp! A part ca, comme le dit neos, rien d infectueux sur ce rapport a part de nombreuses lignes inutiles!

Bonjour a tous, bjr reggy & neos Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [svcdata.exe] svcdata.exe O4 - HKLM\..\RunServices: [svcdata.exe] svcdata.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [svcdata.exe] svcdata.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : svcdata.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [svcdata.exe] svcdata.exe<--- supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [svcdata.exe] svcdata.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [svcdata.exe] svcdata.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonsoir PHIL76 & pollux Tu peux fixer cette ligne et tu peux meme supprimer ce fichier !!! Voir ici! C est un spyware qui s installe avec les drivers Realtek (carte son) et qui prend des renseignements sur l utilisateur!

Re bonjour, Ton rapport est propre je ne vois plus rien d infectueux! As tu toujours des dysfonctionnements?

Je ne suis pas vexé du tout Tu installes Firefox et tu mets cegetel en page d accueil!! Si tes parents veulent a tout prix garder cette daube de IE tu ne fixes pas cette ligne : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net Si tu l as fixe, IE marchera tres bien mais tu n auras plus de page d accueil! Firefox est indépendant, cette ligne ne le conserne pas!

Je sais qu il était infecté, je t avais meme fait une procédure de désinfection avant l optimisation!!! Pourquoi ne l as tu pas suivi?

Je te ferais dire que je t avais déja répondu ici http://forum.zebulon.fr/index.php?showtopic=78012 Ca ne doit pas planter, moi je les ai fixé et je n ai aucun probleme que ce soit avec Firefox et Internet Explorer. La seule que tu perds sur IE c est la page d accueil!! Regarde mon rapport perso :

Bonjour et bienvenu sur le forum sécurité de zebulon, Pour télécharger a-squared : - la version free : http://www.emsisoft.net/fr/software/free/ - la version payante avec une protection en temps réel : http://www.emsisoft.net/fr/software/personal/

Rien de plantera, mais msn ne se lancera plus au démarrage! il faudra que tu le lances en cliquant sur l icone du bureau! Optimisation : Tu peux commencer par fixer ces lignes : O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 -reboot 1 O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe On peut ensuite aller un peu plus loin : - en installant un navigateur alternatif comme Firefox ! Pourquoi passer sur Firefox (ou Opera) et abandonner IE? Tout simplement parce que IE n est pas conforme aux standards du W3C, ils gerent ces funestes ActiveX, souvent porteuses d infections virales, il ne propose pas la navigation par onglets si pratique, il n integre pas d anti popups en interne. Pour toutes ces raisons je te conseille de passer sur Firefox que tu peux davantage sécuriser avec les conseils de megataupe Si tu optes pour Firefox tu pourras également fixer ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm --télécharge lopremover http://www.thespykiller.co.uk/files/lopremover.exe 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -hp center -messenger plus<---- tu le réinstalleras ultérieurement sans les sponsonrs! 5/ Puis exécuter Lopremover Tu le lances,tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL Redémarrer NB : il se peu que ton antivirus s’exite désactive le le temps de la manipulation ---->apres le redémarrage retourne en mode sans échec 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.svultjomeveknrh.com/mlakEfbZMtl...nW8iAGCGGz.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr4.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr4.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srch-fr4.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ThatHope] C:\DOCUME~1\PROPRI~1\APPLIC~1\FLAGBI~1\Anti stupid.exe O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1124230451903 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://E:\AUTORUN\Flash\swflash.cab O20 - AppInit_DLLs: MsgPlusLoader.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\hp center -C:\DOCUME~1\PROPRI~1\APPLIC~1\FLAGBI~1 -MsgPlusLoader.dll<--- ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : Ben sur le rapport je vois ca :

Salut, Infection par lop.com notamment! Systeme pas du tout a jour! J analyse ton rapport, réponse dans un moment!

Salut, On peut optimiser ton systeme . Apres c est a toi de voir car cela jouera sur le "confort"' de l utilisateur en évitant a des programmes de se lancer au démarrage, en limitant les éléments additionnels du menu contextuel et les boutons additionnels de la barre d'outils principale d'IE. Es tu d accord? De toute facon, si tu n es pas satisfait Hijackthis conserve les sauvegardes des lignes fixées!

Bonjour et bienvenu sur le forum sécurité de zebulon, Tu es infecté, notamment par newdotnet Je t invite dans un 1er temps a suivre notre procédure préliminaire :