Jack_Burton

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Démarrer->exécuter-> tape services.msc Double-clique : Service: France Telecom Routing Table Service (FTRTSVC) -> arrêter Mets-le sur "Désactivé". -HijackThis -> "Open the misc tools section" -> "Open Process Manager" -Sélectionne: C:\WINDOWS\System32\FTRTSVC.exe -> clique "Kill Process". -Cliques sur "Back" puis "Scan"... et coche ces lignes : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127891447999 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<--- cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\FTRTSVC.exe -ALCMTR.EXE<--- ce dernier fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Alcmtr] ALCMTR.EXE<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : n oublie pas a désinstaller un des antivirus!

Le second rapport a été fait en mode normal, il me le fallait en mode sans échec, enfin c est pas grave, je me servirais du 1er rapport que tu m as posté! J analyse ton rapport, réponse dans un moment!

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [usbdrv] svchostt.exe O4 - HKLM\..\RunServices: [usbdrv] svchostt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [usbdrv] svchostt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O21 - SSODL: CBBBBD0C - {25FE340A-302E-75DE-2FA6-763049A01217} - C:\WINDOWS\System32\Bfaoaq32.dll O21 - SSODL: mtklefa - {802FE400-C195-4A77-3090-4B9949035F6B} - C:\WINDOWS\System32\ndce32.dll O21 - SSODL: mtklef - {0B5545BA-739B-4EF4-BCA1-306333D99FF1} - C:\WINDOWS\System32\rgphnj32.dll Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\Bfaoaq32.dll -C:\WINDOWS\System32\ndce32.dll -C:\WINDOWS\System32\rgphnj32.dll -svchostt.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [usbdrv] svchostt.exe<--- supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [usbdrv] svchostt.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [usbdrv] svchostt.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : je ne vois aucun parfeu (firewall) sur ton rapport, tache d en installer un!! Tu en trouveras gratuits et performants dans "les consignes de sécurité" en bas pres de ma signature avec des tutos pour les configurer!

Si tu l as fait , c est pas la peine de la refaire, mais sur ton 1er post fallait le préciser que tu avais fait la procédure préliminaire !! J analyse ton rapport dans un petit moment, je suis déja en train d en faire une autre a coté! Bon je vois que tu es parti avant, bon tant pis, j attnds ton nouveau rapport ensuite je l analyserai!

Bonjour, Ton systeme est effectivement infecté, j analyse ton rapport, réponse dans un moment!

Bingo, comme je l avais dit, Lop.com Il faut que tu désinstalles complement messenger plus! Tu le réinstalleras ultérieurement sans les sponsors! *-télécharge lopremover http://www.thespykiller.co.uk/files/lopremover.exe Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -MessengerPlus! 3 2/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [MessengerPlus3] C:\Program Files\MessengerPlus! 3\MsgPlus.exe O4 - HKCU\..\Run: [Hope Bias] C:\DOCUME~1\mathiot\APPLIC~1\MAPIBI~1\BAGSWAIT.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 3/ Supprime le(s) dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\MessengerPlus! 3<--- supprime tout le dossier -C:\DOCUME~1\mathiot\APPLIC~1\MAPIBI~1<--- supprime tout le dossier 4/ Puis exécuter Lopremover Tu le lances,tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL Redémarrer NB : il se peu que ton antivirus s’exite désactive le le temps de la manipulation 4/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour, Ton systeme est infecté!!

Re bonjour Charly, Je suis tout a fait d accord avec toi et ca rejoint tout a fait ce que j ai dit sur mon 1er post!! Ce firewall ne peut pas etre réglé alors que tout le monde sait que pour qu un parfeu soit efficace il doit etre bien configuré!! inconn12, tu trouveras 3 firewalls gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature!

Ok merci, J essaye de te trouver un tuto en image pour une connexion manuelle en haut débit dégroupé! Pour le moment je n ai trouvé que pour de l ADSL classique grrrrr!! Au pire si je ne trouve rien, je t indiquerai tout par écrit! J ai trouvé (sur le site de free ) Télécharge Modèles FBX-03 & FBX-04 - Lignes Dégroupées (4.49 MB ici http://adsl.free.fr/config/freebox/V3-V4.html page 38 a 41 : Support TCP/IP sous Windows XP ou 2000 Mais avant de faire tout ceci n oublie pas de fixer la ligne 017 néfaste de ton rapport hijackthis Une fois que tu auras tout fini, poste nous un rapport hijackthis a titre de vérification!

Ok c est parfait!

Bonjour Stonangel Tout a fait!! La preuve, son infection!! Et comme on dit "trop de protection tue la protection" car les logiciels peuvent entrainer des incompatibilités et des dysfonctionnements lorsqu ils travaillent tous en tache de fond pour la meme chose!! Pas obligatoirement, certains logiciels prétendent désinfecter certains malwares (lorsque lon voit leur base de définitions anti virales) mais ce n est pas tout le temps le cas!

Re bonjour, Ton rapport est propre je ne vois plus rien d infectueux! Fixe encore cette ligne : O18 - Protocol: Festoon - (no CLSID) - (no file) C est tout a fait normal, Hijackthis fait des sauvegardes des lignes qui ont été fixées afin de pouvoir les remettre s il y a des problemes! Tu peux le supprimer car les lignes que je t ai fait supprimer étaient inutiles ou nuisibles! Remarques tu des dysfonctionnements?

Oui, infection par Lop.com a cause de l installation de messenger +3! Il faut désinstaller messenger + et le réinstaller sans els sponsors! Re Charly, Effectivement, il y en a au moins un de trop! Moi je garderais Spybot & SpywareGuard!! Microsoft AntiSpyware vous savez tous ce que j en pense donc...

Bonjour a tous, bonjour chris_idf & Charly, chris_idf, avant de fixer les lignes que t a indiqué Charly désactive le TeaTimer de Spybot car il risque de bloquer les corrections dans la base de registre! Tu vas dans "outils/mode avancé/résident/et tu décoches Résident Teatimer" puis tu valides!

Bonjour, Ton rapport est propre, je ne vois plus rien d infectueux! Tu peux fixer ces lignes inutiles encore : O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab Oui c est une tres bonne idée As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Bonjour Tesgaz Merci du renseignement, Moi j ai trouvé ca http://www.greatis.com/appdata/d/d/delus.exe.htm c est pour ca!! De toute facon c est dans un dossier temp donc cela ne lui sert a rien alors poubelle !! Edit : bon app a tous

Non ca ne durera pas, il faut donc agir des maintenant! La preuve : Ce n est absolument pas les caractéristiques de ton FAI! A moins que tu sois Ukrainien mais j en doute Tu as ADSL classique ou le tres haut débit (dégroupage ou pas?) J ai besoin de le savoir pour te trouver un tuto en image pour que tu puisses bien configurer ta connexion manuellement!

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wanadoo.fr/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [showWnd] ShowWnd.exe O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\bruno\LOCALS~1\Temp\delus.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - O18 - Protocol: Festoon - (no CLSID) - (no file) Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\DOCUME~1\bruno\LOCALS~1\Temp\delus.exe -ShowWnd.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!! 6/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [showWnd] ShowWnd.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Re, Ok, ici O4 - HKLM\..\Run: [showWnd] ShowWnd.exe et ici O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\bruno\LOCALS~1\Temp\delus.exe notamment! Je démarre une analyse de ton rapport, réponse dans un moment!

Bonjour a tous, bjr Zonk, chastityange & Charly chastityange pourrais tu nous poster un nouveau rapport hijackthis fait en mode normal afin que nous puissions nous assurer que Look2Me a bien été éradiqué par Spy Sweeper (a priori oui !)

Salut, Cette ligne 017 est néfaste, il va donc falloir que tu l as fixe et que tu te fasses une connexion manuelle!! Un autre membre a eu le meme probleme (Anianka http://forum.zebulon.fr/index.php?showtopic=76438 )! Tu vas faire ceci dans un premier temps : 1- démarrer/exécuter taper cmd et copier/coller la ligne suivante : ipconfig /all noter l'adresse IP indiquée et les 2 adresses des serveurs DNS et les envoyer dans le prochain post.

Salut, Tu es infecté notamment par Lop.com, certainement a cause de l installation des sponsors de messenger + 3! Je t invite a suivre dans un premier temps la procédure préliminaire :

Salut, Tu es infecté! Pour le moment je t invite a suivre la procédure préliminaire :

Bonsoir et bienvenu sur le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie : Je ne pourrais pas te faire l analyse ce soir, je suis fatigué, si personne ne l a fait dans la soirée je m en chargerai demain, bonne nuit, a demain

Re bonsoir, Non justement, il ne faut absolument pas la remettre, cette ligne 017 était nuisible !! C était d ailleurs la seule chose d infectueuse sur ton rapport! Télécharge et installe Ewido Une fois installé mets le a jour et scanne ton disque dur avec! Lorsque tu auras terminé, poste moi le rapport je te prie! N hésite pas a poser des questions si tu as des problemes a faire certaines choses ou si tu ne comprends pas un truc! Nous sommes la pour ca!