Jack_Burton

Bonjour et bienvenu sur le forum sécurité de zebulon Tu es infecté par Vundo, il va falloir procéder en 2 étapes: -désinfection de vundo -nettoyage du reste du rapport! Imprime ces instructions: une partie de la procédure se fait en mode sans échec. Télécharge VundoFix.exe http://www.atribune.org/downloads/VundoFix.exe Un dossier VundoFix va être créé sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça: A ce moment appuie sur Entrée. Ensuite tu verras: Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix. A ce moment entre exactement le chemin complet du fichier suivant: C:\WINDOWS\System32\efcba.dll Valide puis appuie sur F6, puis entrée pour continuer le fix. Maintenant tu verras: A ce moment entre exactement: C:\WINDOWS\System32\efcba.dll Lance Hijackthis en gardant le fix ouvert. Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED: O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll Après avoir fixé ces items items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre. En appuyant sur une touche provoque le "Blue Screen of Death" c'est normal, ne t'en fais pas! Après le redémarrage, suis les instructions ci-dessous. Fais un scan ligne ici: http://www.pandasoftware.com/products/activescan.htm Copie les résultats du scan avec un nouveau rapport HijackThis.

Bonjour a tous, bonjour Médicus, pj1906 & Tesgaz Apres nous avoir indiqué l emplacement de ce fichier douteux, je te suggere aussi d appliquer la procédure préliminaire comme te l as conseillé Médicus Edit : tiens, il y a eu des changements sur le forum

Bonsoir, Oui tout est clean Ewido n a trouvé que des cookies, tout le monde s en chope lors de la navigation sur le web, il n y a rien d infectueux la dedans t en fais pas Pour supprimer les cookies tu passes un coup de easycleaner ou un CCleaner, et tu t en débarrasses, ils sont situés dans des dossiers TEMP (temporaire). Bon ben voila, ton probleme a été réglé Mainternant je vais au dodo Bonne nuit a tous, @ demain

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -winupdate -Media Access -Messenger Plus! 3<--- tu le réinstalleras ultérieurement sans les sponsors! 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dfltjfqztc.com/xlTYIe_N5uYvhA9v...v6jYeVRHTzd.cgi R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ R3 - Default URLSearchHook is missing F1 - win.ini: run= C:\WESTWOOD\REDALERT\INSTICON.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mmtask] C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [drv hope defy tons] C:\Documents and Settings\All Users\Application Data\Play Meal Drv Hope\soapbleh.exe O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunOnce: [spybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RTEGPRS] "C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe" tray O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [bITSUP] C:\DOCUME~1\BERTRA~1\APPLIC~1\HOPEME~1\film dumb.exe O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\winupdate<--- supprime tout le dossier -C:\Documents and Settings\All Users\Application Data\Play Meal Drv Hope<----supprime tout le dossier -C:\Program Files\Media Access<----supprime tout le dossier -C:\Program Files\Messenger Plus! 3<----supprime tout le dossier -C:\DOCUME~1\BERTRA~1\APPLIC~1\HOPEME~1<----supprime tout le dossier 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Bonne nuit a tous, je suis fatigué, a demain

Désolé pour l attente, j étais au téléphone Oui c est bien ca que je voulais merci! C est parfait Maintenant tu redémarres ta machine, et tu regardes si la ligne est toujours présente dans la base de registre : Démarrer -> Exécuter -> tape regedit et va successivement : HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com<--- cette entrée est elle toujours présente?

Bonsoir, Tu avais déja créer un sujet ici http://forum.zebulon.fr/index.php?showtopic=77517, Tu aurais du poster ce nouveau rapport dans le meme sujet sinon on risque de faire des doublons d analyse! Je débute une analyse, réponse dans un moment! je suis au téléphone, désolé, je peux pas faire l analyse pour le moment Re, je suis de retour, je redémarre l analyse, désolé pour l attente!

Re, Ouvre notepad et fais un copié collé des lignes suivantes : reg add HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy >> look.txt reg save HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy psguard.comdummy.hiv >> look.txt reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.comdummy /f >> look.txt reg restore HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com psguard.comdummy.hiv >> look.txt reg delete HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com /f >> look.txt reg query HKEY_LOCAL_MACHINE\SOFTWARE\psguard.com >> look.txt del psguard.comdummy.hiv start notepad look.txt Sauvegarde ce fichier en fix.bat L icone de ce fichier doit ressembler a cela Double clic sur ce fichier fix.bat! Un fichier txt "look" va etre créé, colle moi le rapport je te prie!

oui et c est ca qui me pause probleme, je vois pas comment éliminer cette ligne pour le moment...

Si si, je suis la attends je relis les posts précédents! J ai vu que tu as demandé aussi de l aide ici http://forum.telecharger.01net.com/telecha...messages-1.html gchris a eu la meme idée que moi mais ca ne marche pas! J essaye de trouver une autre solution!

vampires

Dracula

Re bonjour a tous, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/ Désinstalle via "panneau de configuration/suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s): -WareOut -hp center -mrbookmakerfrMPP 5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr3.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo O2 - BHO: Class - {88F0B4E2-69B2-6CA5-7ADE-EE3BF0432FD0} - C:\WINDOWS\system32\crpn.dll (file missing) O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [apici32.exe] C:\WINDOWS\system32\apici32.exe O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [sdkon.exe] C:\WINDOWS\system32\sdkon.exe O4 - HKLM\..\Run: [ipmz.exe] C:\WINDOWS\system32\ipmz.exe O4 - HKLM\..\Run: [apptw32.exe] C:\WINDOWS\system32\apptw32.exe O4 - HKLM\..\Run: [atlex.exe] C:\WINDOWS\atlex.exe O4 - HKLM\..\Run: [javagb32.exe] C:\WINDOWS\system32\javagb32.exe O4 - HKLM\..\Run: [atlwz32.exe] C:\WINDOWS\system32\atlwz32.exe O4 - HKLM\..\Run: [ipjp.exe] C:\WINDOWS\system32\ipjp.exe O4 - HKLM\..\Run: [addtl32.exe] C:\WINDOWS\addtl32.exe O4 - HKLM\..\Run: [ntxb.exe] C:\WINDOWS\system32\ntxb.exe O4 - HKLM\..\Run: [sysqy32.exe] C:\WINDOWS\system32\sysqy32.exe O4 - HKLM\..\Run: [atlxl.exe] C:\WINDOWS\atlxl.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [iett.exe] C:\WINDOWS\system32\iett.exe O4 - HKLM\..\Run: [mfcri32.exe] C:\WINDOWS\system32\mfcri32.exe O4 - HKLM\..\Run: [ipjk.exe] C:\WINDOWS\system32\ipjk.exe O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe O4 - HKLM\..\Run: [hclean32.exe] C:\WINDOWS\System32\hclean32.exe O4 - HKLM\..\Run: [Dest068] InpriseMon.exe O4 - HKLM\..\Run: [KeywordFinder] SetupExeDll.exe O4 - HKLM\..\Run: [dmaqb.exe] C:\WINDOWS\System32\dmaqb.exe O4 - HKLM\..\Run: [vmcleaner] gxlib.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe" O4 - HKCU\..\Run: [sYSTRAV] driver64.exe O4 - HKCU\..\Run: [uint32] typeconf.exe O4 - HKCU\..\Run: [syspanel] sysmon12.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: MrB Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: Yahoo! Freecell Solitaire - http://presence.games.yahoo.com/yog/y/fs10_x.cab O16 - DPF: Yahoo! Klondike Solitaire - http://presence.games.yahoo.com/yog/y/ks12_x.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!http://205.177.122.27/docs/xxx/html.chm::/html.exe O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/eng/poker_2_0_0_36.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{018F5C2C-82D6-4D98-B791-9720907DA23C}: NameServer = 195.95.218.1,85.255.112.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{240911E2-DBF7-4058-A5E4-6623B2497997}: NameServer = 195.95.218.1,85.255.112.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{920A1CE5-24A9-4B5A-BF97-EA7E997CB5AB}: NameServer = 195.95.218.1,85.255.112.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{D952FADE-99DF-4688-A427-CBD2CD73D013}: NameServer = 195.95.218.1,85.255.112.7 O17 - HKLM\System\CS1\Services\Tcpip\..\{018F5C2C-82D6-4D98-B791-9720907DA23C}: NameServer = 195.95.218.1,85.255.112.7 O17 - HKLM\System\CS2\Services\Tcpip\..\{018F5C2C-82D6-4D98-B791-9720907DA23C}: NameServer = 195.95.218.1,85.255.112.7 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 6/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\Program Files\WareOut<--- supprime tout le dossier -C:\Program Files\hp center<--- supprime tout le dossier -C:\Program Files\mrbookmakerfrMPP<--- supprime tout le dossier -C:\WINDOWS\system32\crpn.dll -C:\WINDOWS\system32\apici32.exe -C:\WINDOWS\System32\msmsgs.exe -C:\WINDOWS\system32\sdkon.exe -C:\WINDOWS\system32\ipmz.exe -C:\WINDOWS\system32\apptw32.exe -C:\WINDOWS\atlex.exe -C:\WINDOWS\system32\javagb32.exe -C:\WINDOWS\system32\atlwz32.exe -C:\WINDOWS\system32\ipjp.exe -C:\WINDOWS\addtl32.exe -C:\WINDOWS\system32\ntxb.exe -C:\WINDOWS\system32\sysqy32.exe -C:\WINDOWS\atlxl.exe -C:\WINDOWS\System32\msmsgs.exe -C:\WINDOWS\system32\iett.exe -C:\WINDOWS\system32\mfcri32.exe -C:\WINDOWS\system32\ipjk.exe -C:\WINDOWS\System32\intel32.exe -C:\WINDOWS\System32\hclean32.exe -C:\WINDOWS\System32\dmaqb.exe -InpriseMon.exe -SetupExeDll.exe -gxlib.exe -driver64.exe -typeconf.exe -sysmon12.exe<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 6/ Nettoyage dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Dest068] InpriseMon.exe<--- supprime si présent [KeywordFinder] SetupExeDll.exe<--- supprime si présent [vmcleaner] gxlib.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [sYSTRAV] driver64.exe<--- supprime si présent [uint32] typeconf.exe<--- supprime si présent [syspanel] sysmon12.exe<--- supprime si présent Ferme ensuite le registre. 7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : Attention, dans les lignes 017 tu les fixes toutes SAUF celle-ci O17 - HKLM\System\CCS\Services\Tcpip\..\{E5515E32-8A5C-4035-861E-D2F22D2FE7CE}: NameServer = 80.10.246.130 80.10.246.3<--- ne la fixe pas celle la, elle correspond a ton FAI Wanadoo!! O2 - BHO: Class - {88F0B4E2-69B2-6CA5-7ADE-EE3BF0432FD0} - C:\WINDOWS\system32\crpn.dll (file missing)<---si cette ligne ne part pas avec cette procédure cela signifie que nous avons affaire a Vundo, par conséquent nous l éradiquerons avec une procédure adéquate! Mais je ne pense pas car si cela avait été le cas il y aurait eu une ligne 020 Bonne chance

Salut, Tres jolie infection Allez je m y colle Laisse moi un moment car la procédure va etre longue! Je crois bien que ton ami est notre "meilleur client", j ai jamais vu un rapport aussi infecté, faut appeler le Guiness des Records la

Re bonjour, Ravi que tout soit rentré dans l ordre.

Re salut, Ton rapport est a présent propre! Tu peux encore fixer ces lignes pour optimisation: O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Salut, Il reste encore une petite ligne néfaste! Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\system32\EZPOPS~1.EXE 5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Bonjour et bienvenu sur le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Salut, Il n y a rien d infectueux sur ton rapport. Cependant il ya de nombreuses lignes inutiles. Tu peux fixer ces lignes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Creative Detector] "C:\Documents and Settings\CADIC\Bureau\gau\Detector\CTDetect.exe" /R O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120378007406 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab Concernant ton probleme : Télécharge et installe Ewido, scanne ton systeme avec et colle le rapport je te prie!

Salut, O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\PROPRI~1\LOCALS~1\TEMP\_VWUPSRV.EXE (file missing) C est bien une ligne légitime, c est le fichier temporaire d'antivir qui est créé lors d'une installation ou d'une mise a jour! Je viens de faire un test et j avais cette ligne apres la mise a jour des définitions! Cependant apres un nettoyage avec CCleaner, la ligne a disparue!

Bonsoir tesgaz, Apparemment cette ligne est légitime, elle est liée au mises a jour pour Antivir! En tout cas elle est qualifiée comme cela sur tous les forums ou je me suis rendu! Peut etre que je me trompe!

Re, Mise a part des lignes inutiles ton rapport est propre! Tu peux fixer ces lignes superflues pour optimiser: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0000.1105\fr-fr\bin\WindowsSearch.exe O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?63aa0172a205484a9a7ebd9fb37cb15f O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?63aa0172a205484a9a7ebd9fb37cb15f O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

Salut, J analyse ton rapport, réponse dans un moment

Bonjour, Si tu penses etre infecté, applique la procédure préliminaire je te prie : Edit : Bonjour Stonangel

Re, Oui tu la continues étape par étape, de toute facon, meme sans le désinstaller via "panneau de config/suppression de programmes", il sera tout de meme supprimé avec l étape 7 de la procédure donc aucun soucis On verra ca apres, pour le moment on doit désinfecter ton systeme!! Pas étonnant, je ne vois aucun firewall sur ton rapport. On s occupera de tout ca a la fin de la procédure!

Re, Ben voila, probleme résolu Ravi de t avoir rendu service!