-
Compteur de contenus
1 984 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par tornado
-
Poisson d'Avril
tornado a répondu à un(e) sujet de Rémi dans J'ai rien à dire mais j'le dis quand même
Salut à tous, Oh non ! C'est terminé... Dommage J'aimais bien "conflit avec mon grille pain usb" -
Help ! Pb carte son qui craque et moi avec !
tornado a répondu à un(e) sujet de Dom's dans Analyses et éradication malwares
Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraîtra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier wordpad (pour garder les mots en gras, la présentation, afin de ne pas être perdu), car elle est assez longue et détaillée, et tu ne pourras pas y accéder en mode sans échec... Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - Starter --> http://telechargement.zebulon.fr/185-Starter.html - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.commonname.com/english/toolbar/sidebar.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR_XP.cab O16 - DPF: {11111111-1111-1111-1111-114430657383} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.easywww.info/safe/payloadexe.exe'>http://www.easywww.info/safe/payloadexe.exe O16 - DPF: {11111111-1111-1111-1111-118682312364} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.easywww.info/safe/payloadexe.exe O16 - DPF: {5F1ABCDB-A875-46C1-8345-B72A4567E483} - http://www.dotcomtoolbar.com/remove/remove.exe O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/eng/oneclick/uninstbb.cab - Fais "fix checked" 3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 4/ Recherche et supprime le fichier en gras via l'explorateur Windows (si il existe encore) - RunDll16.exe - Vide la corbeille NB: Les fichiers n'indiquant pas leurs chemins sont propbablement situés dans C:\ , C:\Windows ou dans C:\Windows\system32 . Tu peux également faire une recherche avec l'outil de Windows, en vérifiant d'avoir coché toutes ces cases dans les options avancées. 5/ Lance Starter * Rend toi dans Registre --> Tous les utilisateurs --> Runservices Dans le panneau de droite, fais un clic droit sur le fichier RunDll16.exe, et choisis Supprimer 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+ -
Help ! Pb carte son qui craque et moi avec !
tornado a répondu à un(e) sujet de Dom's dans Analyses et éradication malwares
Salut dom's, à tous, Pitcat, c'est bien vu... mais tu es passé à coté de cette ligne (certes un peu trompeuse ) : Je prépare une procédure dom's, car ton rapport est quand même infecté... réponse dans 10 min Ca t'évitera peut-être quelques manips compliquées avec ta carte son A+ PS: Salut Jack, A la minute près -
Réponse à propos de HijackThis
tornado a répondu à un(e) sujet de m4th dans Analyses et éradication malwares
Salut m4th, Ton rapport est bien infecté, et on peut se demander pourquoi: O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe Il faut savoir que l'utilisation de logiciels de p2p nuit à la sécurité de ton système. Lis cet article de Tesgaz pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=8554 Par ailleurs, c'est contraire à la charte du forum --> http://forum.zebulon.fr/index.php?act=SR&f=40 Concernant tes nombreuses infections, on va procéder par étapes. Tout d'abord, on va s'occuper d'une des variantes de Smitfraud , SpywareQuake : Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/proc...processutil.htm A+ -
Aide pour analyse fichier HijackThis
tornado a répondu à un(e) sujet de Freeman1978 dans Analyses et éradication malwares
Salut Freeman1978, régis56 , Je te signale juste que Download Accelerator est peu recommandable pour ta sécurité. Il est tout simplement "bourré" d'adwares et son utilisation régulière peut nuire à ta sécurité ... par ailleurs, son efficacité est à remettre en cause. Tu peux le remplacer par un gestionnaire de téléchargement gratuit et sans malwares tel que Free Download Manager --> http://www.freedownloadmanager.org/download.htm Bonne continuation -
Salut hunt7369, As-tu pensé à vider la quarantaine d'avast, après avoir supprimé ce win32.ctx ? Tout ce que je peux te dire pour l'instant, c'est que ton rapport hijackthis est propre... donc rien à fixer (à part quelques lignes inutiles) Met plutôt l'.exe d'Hijackthis dans dossier préalablement crée, comme indiqué dans mes posts précédents. Tu peux toujours faire le scan en ligne de panda, si le message d'alerte persiste après la suppression des fichiers en quarantaine d'avast, après avoir pris soin de désactiver la protection résidente d'avast au préalable. Si tu ne t'y retrouves pas, sers toi de ce tuto --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm Voilà... A +
-
Help ! Pb carte son qui craque et moi avec !
tornado a répondu à un(e) sujet de Dom's dans Analyses et éradication malwares
Salut dom's, Pourrais tu faire un scan hijackthis et poster le rapport, en suivant le tuto très détaillé de BipBip à cette adresse --> http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm A+ -
slt je crois avoir un petit probleme
tornado a répondu à un(e) sujet de nikko972 dans Analyses et éradication malwares
Salut nikko972 et bievenue sur zéb' , Ton pc est infecté entre autres par Lop, les sponsors installés avec Messengerplus. Veux-tu donc appliquer la procédure de prénettoyage, qui décrassera ton pc et te débarassera de certaines infections --> http://forum.zebulon.fr/index.php?showtopic=83986 Elle paraît longue et compliquée, mais ce n'est pas le cas... c'est parce qu'elle est très détaillée et bien expliquée. Bonne chance PS: Hijackthis.exe est mal placé. Il est situé dans un fichier temporaire, ce qui fait qu'on ne pourra pas utiliser les sauvegardes en cas de problèmes. Il faut donc que tu le déplaces dans un répertoire dédié. Par exemple, crée un dossier Hijackthis dans C:\Program Files et déplaces-y Hijackthis.exe -
INFECTION SPYFALCON
tornado a répondu à un(e) sujet de muzopassy dans Analyses et éradication malwares
Salut muzopassy, Tu as très bien travaillé , le log est presque propre... il reste encore une trace de Lop (tu as dû oublié de fixer une ligne je suppose). Il va falloir redémarrer une nouvelle fois en mode sans échec De toute façon, le rapport d'ewido montre la présence de programmes espions dans C:\program files . On va les désinstaller, supprimer leur répertoire, et nettoyer à nouveau ton système... tu feras un scan en ligne pour vérifier si tout est ok à la fin de la procédure. Sinon, je remarque que tu as 2 antivirus...mais cela peut entraîner des conflits système. Tu as apparemment oublié de désinstaller Antivir après la procédure de prénettoyage. On va s'en occuper... 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" : GDiVX Player => tu trouveras de bien meilleurs lecteurs multimedia, gratuit, sans adware, dans la section téléchargements de zeb' (comme VLC, qui inclut la plupart des codecs vidéos) Altnet Antivir 3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe - Fais "fix checked" 4/ Recherche et supprime les dossiers en gras via l'explorateur Windows (si ils existent encore) E:\Documents and settings\PASCAL~1.ORD\Application data\32BAGS~1 D:\Program Files\GDiVX Player D:\Program Files\Altnet E:\Program Files\FileSubmit - Vide la corbeille 5/Exécute lopremover pour supprimer les restes de l'infection par Lop 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools dans le même ordre et la même manière que ma procédure précédente 7/ Redémarre en mode normal, poste un nouveau rapport hijackthis, et fais le scan en ligne de panda à cette adresse --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php Suis les mêmes instructions que dans ce tuto --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm Bonne chance -
Infection par Download.trojan détecté par Pesttrap
tornado a répondu à un(e) sujet de decybell dans Analyses et éradication malwares
Re, Désolé, je me suis emmêlé les pinceaux J'ai donc effacé mon précédent message... Ces 3 lignes sont légitimes et peuvent être fixées sans problèmes (car inutiles)...: --> http://process.networktechs.com/igfxtray.exe.php --> http://www.liutilities.com/products/wintas...slibrary/hkcmd/ --> http://www.commentcamarche.net/processus/ctfmon-exe.php3 Cependant, cette ligne est légitime, mais il ne faut pas la fixer, car elle correspond au driver de ton modem au démarrage, ce qui est indispensable pour avoir ta connexion: --> http://www.liutilities.com/products/wintas...brary/bcmsmmsg/ Voilà , qu'en est-il de tes problèmes ? -
Infection par Download.trojan détecté par Pesttrap
tornado a répondu à un(e) sujet de decybell dans Analyses et éradication malwares
Re, Quand tu as un doute sur une ligne, tu recherche le fichier correspondant sur différents sites de sécu : - http://www.bleepingcomputer.com/ - http://castlecops.com/ - http://virusinfo.prevx.com/ Il te donneront diverses infos sur le fichier recherché (utile/inutiles ; infectieux ou pas ...) Tu peux également faire une recherche via Google, afin de rassembler un max d'infos et comparer les descriptions entre les différents sites. Voilà, qu'en est-il pour ton pc ? -
Infection par Download.trojan détecté par Pesttrap
tornado a répondu à un(e) sujet de decybell dans Analyses et éradication malwares
Re, Désolé pour Spyware Doctor, j'avais oublié Sinon, tu as raison de te méfier des automates, ils t'induisent en erreur et laissent passer de "grosses" infections... Je te rassure, pas de lignes suspectes, ton rapport est propre . Dis moi sur quelles lignes tu as des doutes, je t'expliquerai... Sinon, tu peux fixer toutes ces lignes, après avoir pris soin de d'être déconnecté du net : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab - Fais "fix checked" puis redémarre pour observer les modifications Je ne touche pas aux programmes constructeur (Dell), car cela pourrait affecter le fonctionnement de ton pc... A+ -
Probleme spyware malware
tornado a répondu à un(e) sujet de nicoeurope dans Analyses et éradication malwares
Re, La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier wordpad (pour garder les mots en gras, la présentation, afin de ne pas être perdu), car elle est assez longue, et tu ne pourras pas y accéder en mode sans échec... Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - Starter--> http://telechargement.zebulon.fr/185-Starter.html - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe O4 - HKLM\..\RunServices: [shellbn] C:\WINDOWS\System32\shellbn.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [shellbn] C:\WINDOWS\System32\shellbn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142792021046 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O20 - Winlogon Notify: 1_32bean32_1reg - C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll - Fais "fix checked" 3/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 4/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - C:\Documents and Settings\All Users\Documents - C:\WINDOWS\SYSTEM32\senssrv.dll - C:\WINDOWS\System32\shellbn.exe - Vide la corbeille 5/ Lance Starter - Dans le panneau section de gauche : * Rend toi d'abord dans Registre --> Utilisateur courant --> Run Dans le panneau de droite, fais un clic droit sur le fichier shellbn.exe, et choisis Supprimer * Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à shellbn.exe. Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours shellbn.exe) * Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier shellbn.exe NB: Il se peut que tu ne trouves pas shellbn.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas . C'est juste à titre de vérification. 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. Bonne chance -
Probleme spyware malware
tornado a répondu à un(e) sujet de nicoeurope dans Analyses et éradication malwares
Salut tesgaz Ok, merci pour tes explications Tesgaz ... comment ai-je pu passé à coté de ça ? Je reviens avec une procédure... A+ -
Infection par Download.trojan détecté par Pesttrap
tornado a répondu à un(e) sujet de decybell dans Analyses et éradication malwares
Salut decybell, ça faisait longtemps Bon pour commencer, quelques explications: - Spybot n'est pas un antivirus, c'est un anti-spyware. Je ne pense pas que c'est lui qui cause les conflits avec Norton... En effet, je vise SpywareDoctor, qui est réputé peu efficace, et ne sert à "rien", car le teatimer+les scans font un meilleur travail, et sont suffisants. Je te recommande de le désinstaller via "ajouter/supprimer des programmes" (panneau de configuration). Redémarre et dis moi si Norton a toujours du mal à démarrer... - Ad-aware est un antispyware, et ne peut entrer en conflit avec Norton, car il est utile juste pour les scans, et n'inclut pas de protection en temps réel. Pas besoin de le désinstaller donc, je te conseille même de le garder, en faisant des scan réguliers (après avoir fait la mise à jour) - Easycleaner et CCleaner sont des nettoyeurs, il se lancent manuellement. Garde-les, pour nettoyer régulièrement ton système, en complément d'autres nettoyeurs, cités dans les conseils de sécurité Je te recommande ensuite d'appliquer les différents conseils suivants, si tu veux garder un système propre à l'avenir: Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : http://www.pcflank.com/ => SpywareBlaster : http://www.javacoolsoftware.com/downloads.html Son tuto : http://www.ordi-netfr.org/tutorialspywareblaster.html => Ad-Aware SE de Lavasoft http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 => SpyBot-Search & Destroy de Patrick Kolla http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php => Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre : http://www.diamondcs.com.au/index.php?page=regprot => Ewido : http://download.ewido.net/ewido-setup.exe c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente) mais il reste efficace ! Mets le à jour avant de scanner ton PC. 2)- Les utilitaires pour nettoyer le PC : => Clean Up 40 : http://www.stevengould.org/software/cleanup/ - Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées : * Empty Recycle Bin * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan (cleanup) - aide en image : (merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm => EasyCleaner de Toni Helenius (installe le dans son dossier) http://personal.inet.fi/business/toniarts/files/EClea2_0.exe Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose. http://personal.inet.fi/business/toniarts/ecleane.htm Tutorial : http://www.uptoopc.net/nettoyer/temporaires.php http://www.uptoopc.net/nettoyer/registre.php http://www.uptoopc.net/nettoyer/autresfonctions.php => RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks"). Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://www.hoverdesk.net/freeware.htm - Tutorial : http://www.zebulon.fr/articles/regseeker-1.php => JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner. A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant. Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : A+ PS: Norton est très gourmand en ressources et sa fiabilité est à remettre en cause... si un jour tu souhaites le désinstaller (expiration de la licence ), tu dois le faire d'une manière un peu spéciale car il s'accroche au système --> http://speedweb1.free.fr/frames2.php?page=divers3 Tu pourras le remplacer par un couple av / pare-feu au choix : - Antivir / Zonealarm - Avast / Kerio Retrouve tous les liens des ces différents firewalls et av (téléchargement & tutos) sur cette page --> http://forum.zebulon.fr/index.php?showtopic=64246 De plus, le trop grand nombre de programmes qui se lancent au démarrage peut aussi être la cause du mauvais démarrage de Norton. Poste un nouveau rapport hijackthis, pour voir si on peut optimiser tout ça ... -
Probleme spyware malware
tornado a répondu à un(e) sujet de nicoeurope dans Analyses et éradication malwares
Re, Le fichier senssrv.dll est bien infectieux d'après les rapports... Oui c'est normal, ce sont 2 fichiers système : - Recycled --> fichiers supprimés de la corbeille - System Volume Information --> restauration système Supprime tous les fichiers présents dans ta quarantaine, ça évitera une réinfection Je reviens, je vais m'informer sur ce C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll , bien que j'ai de gros doutes à son sujet ... A+ -
interpreter le rapport hijackthis1
tornado a répondu à un(e) sujet de ieroue dans Analyses et éradication malwares
Re, Je ne pense pas que l'observateur va nous donner des réponses. Quel navigateur utilises-tu ? Si c'est bien ce que je pense, tu utilises IE comme navigateur... je te conseille de changer de navigateur afin d'opter pour un navigateur plus sécurisé, rapide etc ... par rapport à IE. Je te recommande Firefox : - pour le télécharger: http://www.mozilla-europe.org/fr/ - pour encore plus le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628 L'installation d'un tel navigateur est un élément essentiel pour ta sécurité future... Pourtant, le tuto spécifie bien la création de règles... essaye Zonealarm, qui te demande à chaque fois si tu veux qu'un programme se connecte au net. Il te suffit juste de connaître le programme en question. Voilà, bonne chance. PS: Pourrais tu poster un rapport hijackthis en mode normal PS pour libellule : Cet analyseur "robot" n'est pas très fiable. Il laisse passer en général de "grosses" infections. Et puis, de toute façon, hijackthis n'est pas suffisant pour se débarasser des infections les + typiques... -
Probleme spyware malware
tornado a répondu à un(e) sujet de nicoeurope dans Analyses et éradication malwares
Salut nicoeurope, C'est bien que tu ais déjà appliqué la procdéure de pré-nettoyage... Ton rapport hijackthis montre cependant des signes d'infections. Ce n'est pas étonnant car tu as oublié de faire les màj de Windows, après le formatage. D'ailleurs, ce n'était pas nécessaire de formater, spysherrif peut généralement être supprimé sans problème, à l'aide d'outils spéciaux. En attendant que j'établisse une procédure de désinfection, pourrais tu faire analyser ces fichiers: C:\WINDOWS\SYSTEM32\senssrv.dll C:\Documents and Settings\All Users\Documents\Settings\1_32bean32_1.dll en les "uploadant" sur les 2 sites suivants: http://virusscan.jotti.org/ http://www.virustotal.com/flash/index_en.html Tu obtiendras 4 rapports en tout (2 par fichier), copie-les puis poste les dans ton prochain post. A+ PS: Si tu ne les trouves pas, vérifie que tu as accès à tous les fichiers/dossiers de la manière suivante: -
INFECTION SPYFALCON
tornado a répondu à un(e) sujet de muzopassy dans Analyses et éradication malwares
Re, Ton pc a été infecté par plein de méchants malwares et en particulier par Lop, qui correspond aux sponsors installés avec Messenger plus. On va le désinstaller, mais la prochaine fois que tu installes Messengerplus, décoche la case des sponsors à l'installation... La procédure se divisera en plusiseurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier wordpad (pour garder les mots en gras, la présentation, afin de ne pas être perdu), car elle est assez longue, et tu ne pourras pas y accéder en mode sans échec... Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php Et télécharge (seulement, n'installe/ne lance pas tout de suite les applications suivantes): - Lopremover à cette adresse --> http://clairvoyant.p2pforum.it/tools/lopremover.zip et dézippe le dossier - Fixistbar --> http://securityresponse.symantec.com/avcenter/FxIstbar.exe - UninstallNewdonet --> http://www.new.net/support/uninstall6_38.exe - Lspfix --> http://www.cexx.org/lspfix.htm 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" : - ISTsvc - New.net ou Newdonet (si il est toujours présent) - Messengerplus - eDonkey2000 => sûrement une des sources de tes différentes infections... les logiciels de p2p en sont une. Lis cet article pour t'en rendre compte --> http://forum.zebulon.fr/index.php?showtopic=85544 3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ddnatgpnaufhvti.us/_JS/KBpbB_vUObNz...HxcMowpdmH.html O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] E:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [cy4S] E:\WINDOWS\oltdv.exe O4 - HKLM\..\Run: [¢‰¸K0¨4W }ïÁzî[8E:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\oltdv.exe O4 - HKLM\..\Run: [eDonkey2000] "D:\Program Files\eDonkey2000\edonkey2000.exe" -t O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [KINDFLAGFORGRIM] E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag\Soap Mail.exe O4 - HKCU\..\Run: [irhs] "E:\WINDOWS\RACLE~1\dvdplay.exe" -vt yax O4 - HKCU\..\Run: [Hmdk] E:\WINDOWS\system32\??stem\l?gonui.exe O4 - HKCU\..\Run: [ruleeggs] E:\DOCUME~1\PASCAL~1.ORD\APPLIC~1\32BAGS~1\Book Mpeg.exe O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 - Fais "fix checked" 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - E:\Documents and settings\PASCAL~1.ORD\Application data\32BAGS~1\Book Mpeg.exe - E:\Documents and Settings\All Users.WINDOWS\Application Data\ErrorMagsKindFlag - E:\Program Files\ISTsvc - E:\Program Files\New.net - E:\Program Files\MessengerPlus! 3 - E:\WINDOWS\oltdv.exe - E:\WINDOWS\RACLE~1\dvdplay.exe - E:\WINDOWS\system32\??stem\l?gonui.exe - Vide la corbeille 6/ Exécute lopremover pour supprimer les restes de l'infection par Lop 7/ Lance ensuite Fixistbar et clique sur "Start". Un rapport du scan est alors créé dans le même répertoire de l'.exe, tu le posteras à la fin de la procédure 8/ Exécute UninstalleNewdonet NB : Si tu perds ta connexion au redémarrage en mode normal, lance Lspfix et suis les instructions... et redémarre à nouveau 9/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools -Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php 10/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 11/ Répète l'étape 8/ 12/ Redémarre en mode normal, poste le rapport de fixistbar , celui d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+ -
INFECTION SPYFALCON
tornado a répondu à un(e) sujet de muzopassy dans Analyses et éradication malwares
Re, Beau boulot Muzopassy La ligne 20 a disparu de ton log J'aimerais savoir une chose : Es-tu parvenu à supprimer directement winbjt32.dll avec Unlocker ? Pour tes différents problème, je peux dire que c'est "presque" normal, car tu es toujours infecté, même si on s'est débarassé de l'une des infections... Sinon, je ne vois plus la présence de ces lignes: Les aurais-tu fixé ? Aurais-tu entre temps appliqué une procédure pour éliminer Newdotnet ( désinstallation+hijackthis+suppression du dossier+Uninstallnewdotnet ) Si c'est le cas, signale-le moi, car j'ai tenu compte dans ta procédure que tu es toujours infecté par Newdotnet... et je pourrais l'éditer. Je prépare une procédure, réponse dans 20 min (voire davantage) -
Monsieur Cinéma !
tornado a répondu à un(e) sujet de Nicolas Coolman dans J'ai rien à dire mais j'le dis quand même
Salut isham, coolman, on l'a pas déjà fait celui là ? Voir le post de Banyuls p 49 Ca doit être une coincidence -
infection et popups intempestifs
tornado a répondu à un(e) sujet de marshmall dans Analyses et éradication malwares
Salut régis, Pour la ligne suivante: Ca semble être en effet une nouvelle variante de Hijacker.Small.kb Je suis pas sûr qu'avec la Killbox, cela fonctionnera... m'enfin je préfère attendre les résultats de la procédure que j'ai fait appliquer à Muzopassy (unlocker + nettoyage manuel des fichiers temp+ ATF) ainsi que ceux de la tienne pour en juger Par contre, je suis quasiment sûr que cette ligne correspond à L2M et ne peut disparaître qu'à l'aide de tools spéciaux: Lm2fix / L2Mdestroyer, je te laisse continuer Attend quand même la confirmation d'un conseiller ... -
Icones du statut dans msn messenger
tornado a répondu à un(e) sujet de ManTec dans Optimisation, Trucs & Astuces
Salut Mantec, Gothic_ted, Je crois pas que tu peux modifier ça... les différents patchs que tu trouves sur le net te proposent tout un tas de fonctions (plus inutiles les unes que les autres ) mais pas celles que tu demandes. Si tu veux complètement changer d'environnement, change de client de messagerie instantanée. Il y a Gaim, aMsn, miranda ... ils sont tous gratuits, multi-plateformes (sauf aMsn), skinnables et surtout plus sécurisés que MsnMessenger. -
Virus Sasser, aidez moi svp [résolu]
tornado a répondu à un(e) sujet de l'étoile dans Analyses et éradication malwares
Salut l'étoile, Pourrais tu mettre un rapport "ordonné" comme celui-ci par exemple : A+ Arf grilled! Je te laisse le log dans ce cas, t'abîmes pas trop les yeux -
Re jerau 24, Toujours cette trace de Virtumonde dans le registre... et encore dollarrevenue. As-tu trouvé des clés correspondantes avec Jv16 ? On va s'occuper de la trace de vitumonde dans le registre : Télécharge Regsearch de Bobbi Flekman à cette adresse --> http://www.bleepingcomputer.com/files/stee...x/regsearch.zip - Dézippe dans un répertoire dédié tel que C:\Program Files - Double clique sur RegSearch.exe - Copie colle l'entrée en bleu dans les lignes de la zone de recherche: virtumonde - Rien dans la ligne "Enter string to exclude from results" - Clique sur OK - Après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - Le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - Copie-colle le contenu de la fenêtre dans un post, ici - Ferme le bloc-notes - Ferme RegSearch par Cancel (merci à charles ) A+