Curson

Bonjour, Un peu de lecture : Globally Unique Identifier Pour faire simple, les GUID servent d'identifiants. Ils peuvent donc également être utilisés comme outils de tracking. Certains programmes (par exemple ID-Blaster) permettent de modifier les valeurs de certain GUID et les remplacent par des valeurs aléatoires (per ex. {00000000-0000-0000-0000-000000000000}) C'est pour cette raison que l'analyseur trouve l'élément suspect. Cordialement.

Bonsoir, Les malwares détectés par AntiVir se trouvent dans les points de restauration système. Ils ne sont pas actifs. Il te suffit d'effacer le contenu de la restauration système : - Cliquer droit sur "Poste de travail" puis choisir "Propriétés". - Sélectionner l'onglet "Restauration du système". - Cocher "Désactiver la Restauration du système sur tous les lecteurs" ou "Désactiver la Restauration du système" puis appliquer. - Un message informera la suppression de tous les points de restauration existants. - Confirmer par "Oui". - Réactiver ensuite la restauration du système en décochant "Désactiver la Restauration du système". - Appliquer puis valider par "OK". - Créer ensuite un nouveau point de restauration. Cordialement.

Bonsoir, La désinfection est bientôt terminée. 1) Relance HijackThis. - (Do a system Scan Only), cocher les lignes suivantes si présentes : - Ferme tous les programmes et navigateur, et Clique sur Fix Checked. 2) Télécharge OTMoveIt3 de OldTimer : - Enregistre-le sur ton bureau - Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) - Copie-colle l'entièreté de ceci ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : - Ferme tous tes programmes et clique sur le bouton rouge Moveit! pour lancer le nettoyage - Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite) --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) - Ferme OTMoveIt3 (en cliquant sur Exit) Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter... 3) Comment se comporte le système ?

Bonjour, Il s'agit de l'installeur en .exe. Il s'agit d'une archive contenant les éléments de l'AV. Tu n'as donc besoin que du 1er. Télécharge-le à nouveau et tente de l'exécuter. Je crains quelque chose... A voir. Cordialement.

Bonsoir, Obtiens-tu un message d'erreur spécifique ?

Tout à fait d'accord.

Bonsoir Gérard, J'avais en effet pu constater que les ex-admins de CC n'avaient eu aucune information. Par curiosité, qui est le "grand ponte" auquel tu fais allusion ? En ce qui concernait la liaison entre Aluria et WhenU, je l'ignorais. Après quelques recherches, j'ai retrouvé une discussion (2006) entre Eric L. Howes et Rick Carlson (Aluria). Edifiant ! Notamment ceci : http://www.spywarewarrior.com/viewtopic.php?p=116720#116720. C'est vrai que je n'ai pas été très explicite en ce qui concerne les faux liens SWI sur le site de Merijn. Dans la section "Download", les liens de certains utilitaires hébergés sur SWI n'ont pas été corrigés (même chose pour les liens vers Merijn). Il s'agit des tools suivant : StartupList, ADS Spy, IBProcMan, BHOList, BugOff, Kill2Me, Uptimer4, MovieCollection, TransIcon, KazaaBegone. Il est certain qu'il n'est pas facile de récupérer un nom de domaine tombé entre les mains d'un cybersquatteur. A ce sujet, je te conseille de lire cet excellent article de Mike Davidson : How to Snatch an Expiring Domain. En ce qui concerne K7 Computing, ils ne tiennent pas leurs promesses (j'ai envoyé le mail à support [at] k7computing [dot] com). Je vais essayer de les contacter via leur autre adresse mail. Je te tiens au courant.

Bonsoir, Les rapports ne révèlent aucun élément infectieux. Je ne pense pas que ton problème soit d'origine virale. Si quelqu'un a une idée, qu'il n'hésite surtout pas.

Bonsoir, 1) Télécharge ATF-Cleaner by Atribune et enregistre-le sur ton bureau. 2) Exécute le programme (si tu es sous vista, clique-droit sur l'icône >> Exécuter en tant qu'administrateur). - Coche l'onglet "Select All". - Clique sur "Empty Selected". 3) Relance Toolbar-S&D en double-cliquant sur son raccourci situé sur le Bureau. - Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression. 4) Télécharge Malwarebytes Anti-Malware. - Installe-le et fais les mises à jour. 5) Lance MBAM : - Coche la case "Exécuter un examen complet" puis clique sur Rechercher. - Sélectionne (coche) toutes tes partitions puis clique sur "Lancer l'examen". - Lorsque le scan est terminé, un message te prévient. Clique alors sur le bouton "Montrer les résultats". - Dans la fenêtre suivante clique sur "Supprimer la sélection". Si le programme te propose de redémarrer l'ordinateur, accepte! - Le rapport de scan va s'afficher. Sauvegarde le puis poste son contenu. 6) Reposte un nouveau rapport HijackThis. Comment se comporte le système ?

Il manque le rapport Extras.txt.

Bonsoir, AntiVir (la version de base) est gratuite. Le "License File" se renouvelle automatiquement. Voici un tutorial pour la version française : http://forum.malekal.com/viewtopic.php?f=59&t=16375 Cordialement.

Pas de problème Apollo.

Bonsoir, Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. - Double-clique maintenant sur le fichier téléchargé. - Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. - Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. - Poste le rapport généré. (C:\TB.txt)

Si tu ne trouves pas les éléments associés à Eorezo dans ajout/suppression de programmes, passe directement à l'étape 2).

Bonsoir, 1) Ajout/Supression de programmes >> Désinstalles tous les logiciels en rapport avec Eorezo (eoweather, eorss, eocomputer, eoclock, eoengine, etc.). 2) Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. - Double-clique maintenant sur le fichier téléchargé. - Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. - Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. - Poste le rapport généré. (C:\TB.txt)

Bonsoir, Le rapport ne montre rien d'anormal. Nous allons regarder plus en profondeur. 1) Télécharge OTViewIt de OldTimer sur ton bureau. - Ferme toutes les fenêtres et applications. - Double clique sur OTViewIt.exe pour le lancer. - Dans la liste déroulante "File Age" choisis : 30 days (ou selon votre choix) - Clique sur le bouton "Run Scan". - Patiente quelques minutes. - le bloc note va s'ouvrir, poste les deux rapports obtenus dans ta prochaine réponse. Si le bloc note ne s'ouvre pas, tu les trouveras sur ton bureau : OTViewIt.txt et Extras.txt

Le rapport Hijackthis est incomplet. Reposte-le.

Bonsoir, 1) Télécharge HiJackThis de Merijn sur ton bureau. - Double-clic sur HijackThis - Génère un rapport en suivant ces indications : - Exécute le et clique sur Do a scan and save log file. - Le rapport s'ouvre sur le Bloc-Note - Colle le rapport ici, pour cela : - Menu Edition / Selectionner Tout - Menu Edition / copier - Ici dans un nouveau message : clic droit / coller Aide : N'hésite pas à consulter l'aide HiJackThis

Bonjour, Il s'agit très probablement du rootkit TDSS. Je n'ai pas le droit d'utiliser les outils adéquats. Il te faut donc attendre un membre de l'équipe sécurité. Cordialement.

Bonjour Gérard, C'est vrai que l'attitude de Paul est pour le moins incompréhensible. J'ai été faire un tour sur SpywareHammer et j'ai en effet pu constater beaucoup d'amertume chez certain membres. De même, personne ne semble comprendre les raisons qui l’on fait agir ainsi. J'ai retrouvé un lien pour Aluria's Spyware Eliminator http://www.aluriasoftware.com/index.php?menu=support mais je ne sais pas ce qu'il vaut actuellement. Autrement, j'ai constaté que tous les liens de SWI présent dans catégorie download du site de Merijn étaient faux. Autrement, aurais-tu un contact avec la société K7 Computing (K7AntiVirus) ? Cela fait maintenant plus de deux semaines que cet AV fait un faux-positif sur le fichier user32.dll (détection en Trojan.Win32.Patched.bb). Je leur ai envoyé un mail, mais je n'ai jamais eu de réponse et leur base de données n'a pas été corrigée. C'est plutôt ennuyeux.

Ne te laisse pas impressionner. Ces minables n'ont absolument aucun mérite. Il existe sur le WEB des outils qui permettent de facilement défacer des sites présentant des vulnérabilités. Même pour leur fonction JavaScript, ils ont probablement fait du copier/coller. Les connaisseurs apprécieront. Ce fut un plaisir pour moi de t'aider. PS. : Edite ton 1er message et remplace le http par hxxp ; inutile de leur faire de la publicité.

Bonsoir, Je ne vois rien dans le code source, ni exploit, ni iframe. Le fichier mp3 qui se lance n'est pas piégé. Je ne sont que de minables lamers/script-kiddies qui ont defacé un site contenant une faille de sécurité pour cracher leur venin. Il n'y a pas de raison de t'inquiéter. Cordialement.

Bonsoir Gérard, Merci pour ces informations. J'étais au courant en ce qui concernait l'engagement de Paul par Microsoft en juin 2008 mais j'ignorais les informations concernant Robin. Il est certain que tout cela n'a pas contribué au bon fonctionnement du forum. Je considère la fermeture du site comme brutale du fait de l'absence d'annonce officielle. Enfin, espérons que SpywareHammer puisse continuer le travail entrepris sous l'égide de CastleCops. Autrement, toujours sur la page : http://ipl001.free.fr/IT/IT-HJT.html >> le lien redirige vers hxxp://www.spywareinfo.com. De même, encore un certain nombre de liens aboutissent à des sites de cybersquatting.

Bonjour Gérard, Deux pages supplémentaires : http://www.spywarewarrior.com/uiuc/resource.htm http://www.sysinfo.org/toolbarlist.txt J'en profite pour te signaler que sur ton site, le lien du site "WEB Secu" abouti à un site de cybersquatting. De même le site "l'Entraide des Helpers" n'existe plus. Non, je ne suis pas le membre auquel tu fais allusion. Cependant, cela fait maintenant près de quatre ans que, ailleurs, je m'occupe de sécurité informatique. Je ne peux donc être que navré de la perte de CastleCops. A ce propos, connais-tu la raison de cette brutale fermeture ?

Bonjour à tous, Returnil Virtual System 2008 Premium Edition v2.0 est gratuit durant 24 heures via Giveawayoftheday. Returnil Virtual System Personal Edition est un programme qui protège votre système des modifications qui peuvent éventuellement être opérées par des malwares. Returnil crée une copie de votre système, dès lors tous les changements effectués sont perdus après redémarrage. Ceci peut être très intéressant pour tester des programmes ou surfer de manière sécurisée (en cas d'infection, celle-ci est supprimée après redémarrage). Voir : http://www.malekal.com/tutorial_Returnil.php Les plus de la version Premium > Selective File and Folder Saving - Save your work or the entire folder > Drag & Drop - Save documents simply by dropping them on the RVS Toolbar > Shell Integration - Right click a file or folder and commit it to the real hard drive > File Manager - Create, export, or import custom file and folder lists > Browse and Move - The Premium Edition includes a new feature that allows the user to see the files on the real hard drive and to move files back and forth between the Virtual and Real Systems > Total Session Commit - Save an entire boot session without loosing any changes > Cache Method Choice - Switch between use of Memory and Disk cloning > Repair - Create a new Virtual Partition or recover a disk cache with a few clicks of your mouse > Instant Protection State Recovery - If the Disk Cache becomes corrupted or is tampered with, Returnil will switch instantly to Memory Cache and maintain your protected status Plus d'informations : http://www.returnilvirtualsystem.com/rvspremium.htm