Jack_Burton

C est pas grave On a tout notre temps

lundi matin (reprise du boulot apres un bon week end)

Re, Je tiens a te signaler que tu as des services pour les cartes graphiques de marque ATI et Nvidia!!! Pourrais tu me dire la marque de ta carte graphique? Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -hp center -Kazaa Lite K++<---- certainement la source de tes ennuis!! -Netcom<--- désinstalle ce programme si tu ne le connais pas! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.libertysurf.fr/recherche/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libertysurf.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/ O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Netcom] "C:\Program Files\Netcom\Netcom.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite K++\kpp.exe" "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe" O4 - Startup: Raccourci vers programme TV.lnk = C:\Program Files\Emjysoft\Programme TV\programme TV.exe O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Raccourci vers programme TV.lnk = C:\Program Files\Emjysoft\Programme TV\programme TV.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll O14 - IERESET.INF: START_PAGE_URL=http://www.libertysurf.fr O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/pla...0/Installer.exe Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\hp center<--- supprime tout le dossier -C:\Program Files\Kazaa Lite K++<--- supprime tout le dossier -C:\Program Files\Netcom<--- supprime tout ce dossier si tu ne connaissais pas ce logiciel 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : n oublie pas de me dire la marque de ta carte graphique!!

Bonjour, Surment la cause de tes ennuis, et contraire a la charte du forum! Je ne vois aucun firewall sur ton rapport, je te conseille vivement d en installer un surtout si tu utilises le joujou en plastoc livré avec XP. Tu en trouveras 3 gratuits et performants avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature! Je démarre une analyse de ton rapport, réponse dans un moment!

Bonjour yakhoo, Tu vas faire ceci : "Démarrer"-----> "Exécuter"-----> tu tapes services.msc Recherche le service avec cette orthographe exacte: -transfert intelligent d'arrière plan Regarde s il est bien activé! Si ce n est pas le cas active le!

Ravi de t avoir rendu service!

Re bonjour, Ton rapport est propre! As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Salut, svchost.exe est un processus légitime de windows, voir ici http://www.commentcamarche.net/processus/svchost-exe.php3

bébé

Bonjour et bienvenu sur le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour et bienvenu sur le forum sécurité de zebulon, En effet, ton systeme est tres infecté, applique la procédure préliminaire je te prie :

Salut, Moi je pense que cette discussion va finir en troll...

chouchou !

Non tu coches toutes les lignes indiquées!! Les 2 lignes en gras sont celles qui risques de ne plus apparaitre car les services auront été stoppés!! Edit : je vois 3 antivirus sur ton rapport : des restes de Kapersky, Securitoo & Antivir, lequel utilises tu habituellement? Je suppose que c est Securitoo..

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm -Télécharge LPSfix et dézippe le sur le bureau :http://www.snapfiles.com/get/lspfix.html 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton. Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer. Coche la case "I know what I'm doing" ("Je sais ce que je fais"). Sélectionne toutes les instances de la dll suivante :msvrl.dll et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur le bouton "Finish" 5/ Démarrer->exécuter-> tape services.msc Recherche les services avec cette orthographe exacte: -Navigation étendue et définition (Connexion dictionnaire) - Friend ® -France Telecom Routing Table Service (FTRTSVC) - France Telecom Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 6/ Lance Hijackthis : -> "Open the misc tools section" -> "Open Process Manager" -Sélectionne: C:\WINDOWS\System32\FTRTSVC.exe -> clique "Kill Process" -Cliques sur "Back" puis "Scan"... et coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_med_pao.exe O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solut...e/bridge-c5.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O23 - Service: Navigation étendue et définition (Connexion dictionnaire) - Friend ® - C:\WINDOWS\System32\Weather.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe<--- il se peut que ces 2 lignes n apparaissent plus du fait que l on a stoppé les 2 services en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\System32\Weather.exe -C:\WINDOWS\System32\FTRTSVC.exe 8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : je vois 3 antivirus sur ton rapport : des restes de Kapersky, Securitoo & Antivir, lequel utilises tu habituellement? Je suppose que c est Securitoo..

Bonjour, J analyse ton rapport (infecté), réponse dans un moment

Bonjour melkis, Spy Sweeper est un logiciel payant, tu ne pourras l utiliser que 14 jours!

Bonjour rif & Stonangel rif il n y a plus rien d infectueux sur ton rapport mais suis tout de meme cette procédure : Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 7/ As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Bonjour farphe & Charly Oui tu le supprimes également!! Vérifie d'avoir accès à tous les fichiers Si tu n arrives pas a le supprimer en mode normal, fais le en mode sans échec !! Oui c est exactement ca! Ok, pas de probleme Les lignes 04 ne concernent pas Internet Explorer, ce sont les logiciels qui se lancent au démarrage! Les lignes qui concernent IE sont les Rx et 02! OPTIMISATION DU SYSTEME : Tu peux fixer ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll <--- inutiles si tu utilises Opera (ou Firefox) O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe<--- necessaire seulement tu utilises les touches additionnelles du ton clavier Asus! O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html Concernant les services en lignes 023 : O23 - Service: ASUS Keyboard Service (ASUSKeyboardService) - ASUSTeK COMPUTER INC. - c:\WINDOWS\ASUSKBService.exe<-- tu peux le désactiver si tu n utilises pas les touches additionnelles du clavier Asus! O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe<--- tu peux le désactiver, tu le lanceras seulement lorsque tu te serviras de ton iPod O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe<--- services non nécessaire que tu peux arreter! Pour arreter les services: Dans le menu Demarrer>Executer >tape: Services.msc Recherche les services non nécessaires Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. Si tu n es pas satisfait du résultat tu pourras remettre les lignes car Hijackthis concerve des sauvegardes des lignes fixées!

Bonjour, Oui, il semblerait y avoir un "hic" car sur la procédure préliminaire il est dit que le rapport hijackthis doit etre fait en "mode sans échec" et ce n est pas le cas pour toi!

Bonjour, Pour le modem Hitachi j en sais rien car tu ne nous renseignes pas sur le modele exact. Par contre la freebox ne fait absolument pas firewall!

Bonjour et bienvenu sur le forum sécurité de zebulon, Ton systeme est infecté, applique la procédure préliminaire je te prie : Le Peer to Peer est contraire a la charte du forum et c est certainement la source de ton probleme!

Bonsoir Tesgaz, 3 fois meme!!!