Jack_Burton

Bonjour et bienvenu le forum sécurité de zebulon, Si tu penses etre infecté, applique la procédure préliminaire je te prie :

Bonjour, Le rapport hijackthis est propre mais celui de Ewido comprend encore des entrées dans la base de regitre qui mentionnent la présence de PS.Guard! Nous allons nettoyer tout cela manuellement! 1/ Redémarre en mode sans échec. 2/ Vérifie d'avoir accès à tous les fichiers 3/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\WINDOWS\system32\Process.exe 4/ Nettoyage manuel dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : HKEY_LOCAL_MACHINE\SOFTWARE PSGuard.com<--- supprime cette entrée si présente! Ferme ensuite le registre. 5/ Redémarre l'ordinateur en mode normal et refais un scanne avec a² et ewido pour vérifier si les problemes persistent et poste ensuite les rapports je te prie

Bonjour, Ton rapport est propre! Effectivement c est étrange! Cela fait combien de temps que cela te fais ca? Non car CCleaner nettoie tout cela! Néanmoins, meme si tu effaces toutes les traces sur ton systeme, ton FAI (Fournisseur d Acces a Internet) est au courant de toute la navigation de ses abonnés! Mais, a moins que l on demande a ouvrir une enquete, il ne regarde pas ou les abonnés ont l habitude de se rendre! Tu ne dois garder qu un antivirus en temps réel! Sinon cela peut entrainer des incompatibilités! Tu dois donc désinstaller un antivirus! Il en est de meme pour le firewall, tu ne dois en garder qu un!! Ewido est un antispyware, trojan, ad-aware tres performant mais payant! Tu dois effectivement installer des antispys tels que spybot, ad-aware et spywareblaster. Tu trouveras les liens de ces logiciels avec des tutos dans "les consignes de sécurité" A quel page s il te plait? De quel restauration parles tu? Restauration du systeme?

Bonsoir, Ton systeme est tres infecté, applique la procédure préliminaire si ce n est pas fait :

Re, Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec. 1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm 2/ Redémarre en mode sans échec. 3/ Vérifie d'avoir accès à tous les fichiers 4/Désinstalle via "panneau de configuration/suppression de programmes" le logiciel suivant si présent: -hp center 5/ Dans le menu Demarrer>Executer >tape: Services.msc Recherche le service avec cette orthographe exacte: -WindowsSysBoot Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. 6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr7.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.everythingyouneed.org/tool.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [MCX Updte] scorti.exe O4 - HKLM\..\Run: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe O4 - HKLM\..\RunServices: [uyfqofechsqv] C:\WINDOWS\system32\rumuo.exe O4 - HKLM\..\RunServices: [MCX Updte] scorti.exe O4 - HKCU\..\RunServices: [up Service] up32.pif O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129715107031 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1129715553937 O23 - Service: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsys.exe (file missing)<--- il se peut que cette ligne n apparaisse pas du fait que l on a stoppé le service en question! Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". 7/ Supprime le(s) fichier(s) et dossiers(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows : -C:\PROGRA~1\STARDO~1<--- supprime tout le dossier -C:\WINDOWS\system32\rumuo.exe -C:\Program Files\hp center<--- supprime tout le dossier -C:\WINDOWS\winsys.exe -ALCXMNTR.EXE -scorti.exe -up32.pif<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!! 8/ Nettoyage du ver dans la base de registre: Démarrer -> Exécuter -> tape regedit et va successivement : *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [AlcxMonitor] ALCXMNTR.EXE<--- supprime si présent [MCX Updte] scorti.exe<--- supprime si présent *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices [MCX Updte] scorti.exe<--- supprime si présent *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices [up Service] up32.pif<--- supprime si présent Ferme ensuite le registre. 9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". 10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. Edit : je tiens a te signaler que tu as un service pour carte graphique ATI alors que tu es sur Nvidia!! Je t indiquerai tout ca lorsque ton system sera propre!! Une chose apres l autre!

Bonsoir, Effectivement, ton systeme est infecté! J analyse ton rapport, réponse dans un moment!

ok, ca c est l étape un maintenant fais l étape 2

Jeune

Re, Effectivement ton rapport est propre Tu laisses tout par défaut, tu installes le logiciel et tu cliques sur lancer le nettoyage As-tu toujours les dysfonctionnements que tu évoquais lors de ton premier message?

Re, il manque le 2eme rapport de SmitFraudFix v1.88, celui fait en mode sans échec!! Refais la procédure je te prie!! N oublie pas une étape c est important!!

Re, C est parfait!! Rétabli la restauration du systeme puis scanne une nouvelle fois ton disque dur avec bidefender je te prie! Dis moi ce qu il en est? As tu toujours les dysfonctionnements?

Catherine Deneuve!

Ok, J attends la suite!

tu as essayé la défragmentation cette fois ci? Est ce qu elle a bloqué a 41%?

Hum hum bizarre!! Bon remplace easycleaner par CCleaner et poursuit la procédure. A la place de easycleaner a l étape 7 tu passeras un coup de ccleaner!

San ku kai

Non , en fait c est moi qui me suis planté dans la numérotation des étapes mais il n en manque pas ! Je vais rectifier! Tu peux l appliquer sans probleme

ok, pas de probleme !

Bonsoir, Apparemment infection par PSGuard! Nous allons procéder en 2 parties: -tout d abort on va se débarrasser de PSGuard -puis du trojan Process.exe * Télécharge SmitfraudFix de S!Ri: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Tu le dézippes sur le Bureau. * Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1 Postes le rapport. * Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. * Relance le et choisis cette fois l’option 2 et réponds oui à tout. * Redémarre normalement et communique le deuxième rapport avec un rapport ewido et hijackthis

Re, Désactive la restauration systeme. Sers toi de ce tuto pour le faire http://www.libellules.ch/desactiver_restauration.php Puis refais un scan avec Bitdefender!

Que tu étais infecté et que le rapport hijackthis ne le montrait pas! Tu étais infecté par MyWebSearch & HotBar notamment, mais Ewido a fait le nettoyage! As tu toujours des dysfonctionnements?

Salut, Il s agit d un processus légitime de windows pour faire les mises a jour! Voir ici. Contrairement a ce qui est écrit, ce processus n appartient pas seulement a WinME, il est également présent sur XP et 2000 (je l ai en effet sur mon systeme). Par ailleurs tu peux fixer ces lignes superflues sur ton rapport : O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

Tu ne me déranges pas du tout! Un rapport propre ne signifie pas obligatoirement un systeme non infecté! Télécharge et installe Ewido Scanne ton pc et colle moi le rapport une fois que cela sera terminé je te prie

Salut, Ewido n est pas un antivirus mais un antispyware, adaware, trojan! Tu dois donc conserver un antivirus! Si tu installes un firewall quelqu il soit, tu devras désactiver en effet le joujou offert par XP! Prends les 2 car ils sont complémentaires! Tu peux également rajouter spywareblaster qui comble les failles dans la base de registre afin d éviter que des spywares viennent s y loger, et bloque des URL néfastes!

Re, Ton rapport est toujours propre, cependant une petite remarque : Un logiciel P2P est source de problemes et d infections virales! C est également contraire a la charte de zebulon Je vois que tu avais déja la version Full de a² squared!! Pourquoi ne me l as tu pas dit lorsque je t ai demandé de télécharger la version free? Scanne ton pc avec et colle moi le rapport sans rien supprimer je te prie!