Rafiot

Bonjour RAMBO085, Commence par suivre cette procédure avant de poster un log HijackThis HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) - télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip ) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien : http://minilien.com/?ZBcNwM6Om1 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'Hijackthis -- créer un nouveau dossier à la racine de C:\Program Files\Hijackthis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer Hijackthis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier Hijackthis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier Hijackthis dans un répertoire temporaire -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\Hijackthis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : Hijackthis 1, Hijackthis 2...) NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) : My Webpage Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse. 524219[/snapback] Auteur : megataupe

après un survol rapide, rien trouvé. Ca semble clean, c'est étonnant cette détection deux lignes en plus par rapport au log précédent nettoyé (du norton) : O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe Bonne nuit si jamais il y a encore quelqu'un

ipl n'est plus la semble t'il et je ne vais pas tarder à aller retrouver mon lit aussi, je colle ci dessous son message spécial protection : Nous faisons de gros efforts pour aider avec de plus en plus d'efficacité et nous voulons lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille ! Avec un peu de prévention, il est possible d'être à l'abri des menaces ! S'il te plaît, fais passer le mot autour de toi ! S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum ! Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier ! 524923[/snapback] EDIT : non, c'est pas normal. Je ne suis pas aussi fort que ipl mais je vais voir si je touve quelque chose dans ce log

comme d'habitude, toujours aller sur le site officiel bien vu ipl : - sous IE, il se charge un ActiveX - sous Firefox, Java arrive

ok, comme ca, ca marche celui la fonctionne mais alors pourquoi lorsque je vais sur cette page : http://www.secuser.com/antivirus/index.htm je tombe sur ce message : Either the browser does not support the Object element or an error occurred while downloading the object. Unable to loading HouseCall ActiveX Control.

Bonsoir à tous (il y a trop de monde pour que je détaille ) , megataupe> en penser qu'ils pouraient ne pas fournir l'antidote EDIT : j'ai lu un peu vite, il sert à qui dans ce cas l'antidote (si on peut l'appeler ainsi...) ? eile le n'ange> il te faudra etre motivée, il y a un tutorial de IPL très bien fait ici : http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php Bon courage

Bonsoir à tous, Un détail : IE n'est pas à virer completement, simplement à utiliser lorsqu'il est absolument nécessaire. Sans chercher très loin : faire un scan en ligne sur secuser est impossible avec firefox (activeX oblige...) : http://www.secuser.com/antivirus/index.htm

tu sais ce qu'il te reste à faire ipl , utilise tes contacts : il doit bien y en avoir un qui le connait un autre truc qui lui fera peut etre plaisir mais ca va nécessiter du boulot de ta part : tu lui demande si il serait d'accord pour que tu traduises le soft en francais, si oui, t'as gagné

je connaissais pas (si, si c'est vrai ), il est vraiment excellent de soft . par contre il lui faut pas une seconde !! Il en a mis 29 chez moi... pour virer les 650Mo en trop (je ne pensais pas que c'était possible d'avoir autant de trucs temporaires dans java ^^)

suffit de lui demander mais d'après ses réponses sur le forum, j'ai des doutes après si c'est toi qui demande et que tu te vends bien, il sera peut etre d'accord

il parle meme de le proposer au téléchargement mais pas tout de suite, il attend de tester encore un peu

Bonjour ipl, tout le monde, C'est normal que tu ne trouves pas de liens pour le télécharger : Source : http://forum.ccleaner.com/lofiversion/index.php/t1087.html

Bonjour à tous, 256 de RAM avec Xp, il se peut que ca soit un peu juste. Le prix de la RAM est bas en ce moment, c'est peut etre le moment de passer à 512 .

Bonjour bigjojo, tesgaz, tous les autres, voila la procédure à suivre si tu penses que ton ordinateur est infecté par une/des bestioles indésirables : Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) - télécharger la dernière version d'Hijackthis ( http://www.merijn.org/files/hijackthis.zip ) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure décrite sous ce lien : http://minilien.com/?ZBcNwM6Om1 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'Hijackthis -- créer un répertoire à la racine de C: soit C:\hijackthis et dézipper le programme précédemment téléchargé dans ce répertoire. -- lancer HijackThis et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis va être enregistré dans C:\hijackthis (penser à rajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : hijackthis 1, hijackthis 2...) NB : en cas de problème, appliquer la procédure de BipBip (avec copies d'écran) : My Webpage Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse. 522499[/snapback] 522958[/snapback] Auteur : megataupe

Bonsoir à tous, ce qui est sur c'est que je ne me jetterais pas dessus immédiatement : on est pas à l'abris d'un millenium bis si il est bon, je l'acheterais avec un nouvel ordinateur quand le besoin s'en fera sentir

Bonsoir à tous, dans la série "nettoyage des zones de restauration" : la beta 3.5 de Ewido détecte les cookies supprimés dans Nprotect, quand je lui demande de nettoyer, il est pas difficile et dit que tout est viré. En réalité, il en vire quelques uns à chaques passages Attention : la Beta est assez instable (en amélioration cependant), vivement déconseillée aux utilisateurs non avertis (cf test sur PCA)

Bonsoir à tous, J'ai une autre idée si le log complet est préférable : avec les lignes précédées par "---" à fixer

l'article est en effet un peu long, on va dire que ca sera bon pour lundi le site de tesgaz ainsi que le tien sont déja dans les favoris depuis quelques jours merci pour les adresses de forums : je vais aller y faire un petit tour http://www.franckn.com à l'air un peu dans les choux

Bonsoir à tous, merci à toi et à tesgaz pour les conseils et maintenant, au dodo Bonne nuit à tous

ipl > je m'étais pour l'instant contenté du petit tuto de Merijn, je lis cet article dans la journée ipl & tesgaz, merci beaucoup pour vos conseils Ca n'a pas grand chose à voir mais si jamais vous trouvez une procédure de désinfection sur un site allemand et que vous voyez que je suis sur le forum, envoyez moi un MP : j'ai un niveau suffisant pour faire la traduction EDIT : et moi pas vue du tout...

Rebonsoir ipl, Je vais essayer de faire quelques autres analyses dans la journée j'ai compris pourquoi je me suis planté sur le O4 : il faut faire gaffe aux majuscules Pour résumer : "no file" pour les O9 et "file missing" (sauf en cas d'adresse connue) = fixer ? O16 DPF : ca fait quelques jours que je regarde des logs, certains en sont bien remplis ! Pour en revenir au départ, fixer : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost et les DPF. Mis à part ca, le rapport est clean. mattlou43> tu peux donc dormir sur tes deux oreilles

Bonsoir tesgaz, ipl_001, mattlou43, tous les autres, tesgaz> pas faux, j'avais oublié ce "détail" EDIT : Ok, je note

Voila le résultat des recherches : Je n'ai trouvé qu'une seule ligne renvoyant à un parasite : O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto Elle correspond à un CoolWebSearch : msconfig X msconfig.exe CoolWebSearch parasite related. **Note - this is not the legitimate msconfig.exe which should only appear in Msconfig/Startup if you leave the warning box unchecked after changing an Msconfig entry and rebooting Pour l'éliminer télécharge CWShredder : http://www.intermute.com/spysubtract/cwshr...r_download.html Exécute le et fixe tout ce qu'il trouve. --- EDIT --- tu peux aussi fixer la ligne : O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) Quelques questions maintenant, à quoi correspondent ces lignes : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (pour ces deux la, le @ me parrait bizarre) Je serais d'avis de fixer aussi tout les DPF : O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmesse...pdownloader.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.servicesalacarte.wanad...gamesplayer.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylom.servicesalacarte.wanad...zylomloader.cab O16 - DPF: {DF4F4ED9-420B-4F40-AEE6-A620460306E7} (CantocheLivingActorInstaller2 Class) - http://ak.cdiscount.com/plug-ins/LivingActorInstaller2.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab Comme signalé par IPL, il ne faut pas avoir plusieurs Antivirus en meme temps sur l'ordinateur : Il te faut conserver Norton OU AntiVir megataupe > un courage assez limité quand meme : je sais que quelqu'un va revérifier ensuite

Bonsoir mattlou43, megataupe, tous ceux qui passent par ce sujet , on va commencer pas les choses qui fachent : HijackThis ne doit jamais etre dans un répertoire temporaire (risque de suppression malencontreuse) . Si personne ne s'occupe encore de ce log, je vais essayer de le traiter. Il faudra juste une vérification pas un pro ensuite . EDIT : tu parles de vider le répertoire ?

Bonjour megataupe et merci pour ces informations