Aquarel

Bonsoir regis56 Oui je pense aussi à cette solution .... récupérer vos programmes sur un autre ordi en utilisant une clé USB. Quels sont les grogrammes à télécharger en priorité ?

Pour une plus grande clarté, je reprends ici une description de mes soucis rencontrés, une sorte de pas à pas des faits qui se sont produits depuis le début de l’infection. VIRUS contracté le 05/04/2006 à 18h43 … Ce virus est détecté et bloqué en parti seulement par mon antivirus McAfee. NOM : cheval de Troie (new Malvare.j) NOM du fichier infecté : C/WINDOWS/SYSTEM32 … mssearchnet.exe Impossible à l’antivirus de supprimer ce fichier qui a été mis en quarantaine En manuellement le fichier sur mon disque dur n’est pas éditable. L’analyse de mon rapport HijackThis montre la présence du trojan Dropper-GF Je résume les problèmes rencontrés : 05/04/2006 : Apres l’infection, apparition de nouvelles barres d’outils et de sécurité - j’ai bloqué puis supprimé ces modules Problème de navigation - Mon site favori (Ebay) qui est en page de démarrage est renvoyé automatiquement sur des sites indésirables. - je remplace ma page de démarrage par Google Depuis l’infection, il m’est impossibilité de me connecter sur Ebay. Quand j’essaye de le faire, l’erreur suivante apparaît: IEXPLORE.exe a rencontré un problème et doit fermer. AppName: iexplore.exe AppVer: 6.0.2900.2180 ModName: kernel32.dll ModVer: 5.1.2600.2180 Offset: 0001eb33 Erreur d’application : L’instruction à « 0x01a239fe » emploie l’adresse mémoire « 0x01aa0080 » La mémoire ne peut pas être « read » ------ 06/04/2006 : Je vous contacte sur le site « forum.zebulon.fr » en vous soumettant mon rapport HijackThis. Suite à vos reponses, j’essaye d’appliquer vos conseils de téléchargement. En cliquant sur vos LIENS, je suis automatiquement renvoyé sur une autre adresse qui se substitue à celle de vos liens - je tombe sur ceci : search.msn.com ou www-search.net Je change alors de méthode et je tape manuellement une URL dans mon navigateur. Par exemple: (http://www.atribune.org/ccount/click.php?id=1 ) La encore je suis détourné vers //search.msn.com ou //www-search.net Idem pour Ewido, SmitfraudFix …. Il semble que tous les sites qui permettent le chargement de programmes pour combattre les virus soient systémiquement reconnus et redirigés vers //search.msn.com ou www-search.net pour empêcher tout téléchargement. 08/04/2006 : Je suis les conseils de tirol et modifie mon fichier HOSTS tel que: # hosts de base # Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur 127.0.0.1 localhost Pas de résultat positifs…. Les sites de téléchargement sont encore redirigés vers search.msn.com ou www-search.net Depuis l'infection, à chaque redémarrage de ma machine mon antivirus McAfee détecte un nouveau cheval de Troie (PUPER) qu’il bloque et qu’il supprime. (C/Windows/Syteme32/ xxx.tmp) Voila où j'en suis. Il est donc inutile de me proposer des nouveaux liens pour télécharger des programmes, ces liens étant systématiquement annulés et remplacés par un site illicite. Il faudrai donc trouver une nouvelle méthode et tout reprendre à zéro. Pour Gof : Il n’y a pas de guillemet dans mon fichier hosts et ma machine n’est pas réinfectée car pour le moment il m’est impossible de suivre une procédure de désinfection. Merci à tous ceux qui tentent de m’aider : kevin76 charles ingals tirol Gof Aquarel

Bonjour Gof Vous faites parti d'une équipe fantastique !!!! Quel solidarité ... Je viens d'intégrer les lignes dans host: # hosts de base # Cette entrée est nécessaire pour le bon fonctionnement de votre ordinateur 127.0.0.1 localhost" à mon ficher HOSTS. Malheureusement pas de changement après le redémarrage de l'ordi. Les liens http://www.atribune.org/ccount/click.php?id=1 et http://download.ewido.net/ewido-setup.exe .................. me renvoie encore sur [search.msn.com Autre info: Le fichier qui est vérolé est : mssearchnet.exe (détection initiale de l’antivirus McAfee) Évidemment impossible à l’antivirus de le supprimer. Manuellement le fichier n’est pas repérable sur le disque dur. Je suis un peu limité en connaissance informatique, mais je ne vais pas me laisser faire !!! Y a t’il un moyen de supprimer ce fichier par la commande « EXECUTER » de Windows ?

Bonjour Tirol Non je n'arrive pas à le lire, je ne connaits pas le programme qui ouvre un fichier hosts. Je viens de faire une copie de hosts, j'ai donc : - un ficher renommé en hosts.old - un ficher hosts (sans extention). Quel est le programme pour lire et modifier ce fichier Hosts SVP ?

Bonsoir Tirol Merci pour l’info J’ai bien trouvé le fichier HOSTS sans suffixe …. mais pas de fichier HOSTS.SAM Par contre j’ai un fichier LMHOSTS.SAM mais je suppose que ce n’est pas la même chose. Pour le moment je ne renomme pas mon fichier hosts en hosts.old vu que je n’ai pas le hosts.sam C'est normal de ne pas avoir de fichier hosts.sam ?

Merci à tous pour vos suggestions J’ai suivit ton conseil Kevin en supprimant un programme antivirus en gardant McAfee. Pour la suite, il m’est absolument impossible de résoudre mon problème viral…. car …. - Quand je tape http://www.atribune.org/ccount/click.php?id=1 ou http://download.ewido.net/ewido-setup.exe .................. Je me retrouve inexorablement sur xxx://search.msn.com. Que faire pour télécharger les programmes que vous me conseillez ? N’y a t’il pas une solution possible pour résoudre une partie des problèmes avec le rapport HijackThis que j’ai posté en tout début de ce sujet ? Est-il possible de m’envoyer ATF-Cleaner.exe et les fichiers Ewido par E-mail ? Voici mon email : Castor.68@wanadoo.dfr

Bjr charles ... Oui, c’est la seule chose que je n’ai pas faite. (Désinstallation d’AVIAR AntiVirus) A noter que les antivirus suivant sont installés sur mon PC : McAfee depuis 2 ans (payant), Ad-Aware SE et depuis 2 jours AVIAR. […….. tu ne dois conserver qu'un seul antivirus en résident sur ton pc] En résident ... ? Que doits-je faire ? Supprimer Ad-Aware et AVIAR ? Autre problème, quand j’essaye de suivre tes conseils et de télécharger « ATF Cleaner by Atribune » en cliquant sur tes liens, une autre adresse se substitue et je tombe sur ceci : xxx://search.msn.com/results.aspx?q=atribune Idem pour la version d'essai d'Ewido Quelle mer… !!!! A la place des liens il me faudrait les adresses où je puisse télécharger ces programmes. Là, je ne sais plus par quel bout attaquer le pblm

Merci de ta réponse rapide et chaleureuse Kevin76. Avant de poster mon message initial sur le forum, j’ai suivi scrupuleusement la procédure de Megataupe... (un pas à pas super bien expliqué, bravo pour ce boulot !!!) Grâce à ton lien, je viens de m’apercevoir que j’ai du suivre les phases 1 à 4 d’une ancienne procédure car je n’ai pas désinstallation Antivir en phase 3. De plus j’ai installé HijackThis avant la procédure. Dois-je tout recommencer ? A++

Bonjour à tous Mon ordi est certainement infecté par une Sal….. qui affecte Internet Explorer Je résume les faits : Apparition soudaine de nouvelles barres d’outils et de sécurité, problème de navigation, renvoi sur des sites indésirables … ect. Le fait le plus marquant est l’Impossibilité de me connecter sur Ebay qui était ma page d’accueil. Quand j’essaye de le faire, l’erreur suivante apparaît: IEXPLORE.exe a rencontré un problème et doit fermer. Voici donc ma demande d'analyse de rapport HijackThis. Merci d’avance à tous ceux qui se devouent. Logfile of HijackThis v1.99.1 Scan saved at 10:18:45, on 07/04/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HijackThis\VERSION TRADUITE ORIGINALE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\SYSTEM32\winbrume.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {C8F21DFE-B35C-4274-82EC-1E072D09025E} - C:\WINDOWS\SYSTEM32\winbrume.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [intelMeM] C:\Program Files\Intel\Modem Event Monitor\IntelMEM.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program Files\Dell Photo AIO Printer 922\dlbtbmgr.exe" O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sB Audigy 2 Startup Menu] /L:FRN O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" O4 - Global Startup: Fenêtre d'état Canon LBP-810.LNK = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAPPSWK.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eB...l_v1-0-3-30.cab O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Program Files\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\SYSTEM32\IoctlSvc.exe