[Résolu] Backdoor.Win32.Jaan.d

[WawaSeb]

Bonjour lucma,

 

*** Antivir a mis les fichiers concernés en quarantaine ! ***

 

 

Juste avant je joins ici deux captures d'écrans qui correspondent à des réactions de ma machine qui m'embêtent

--> Depuis quand as-tu ceci ?

--> Je ne vois pas les images, peux-tu renvoyer les captures stp ?

 

 

Nombre d'objets infectés: 0

Nombre d'objets suspects: 0

--> As-tu vidé ta restauration du système ?

--> Si oui, quand et pourquoi ?

 

 

D:\VISU JAN'08\ROBIN\CLE-LUCMA (N)\PB MALWARE\ComboFix.exe

--> Est-ce toi qui as utilisé cet utilitaire ?

--> Etait-ce en suivant le conseil d'un membre de l'équipe sécurité ?

--> Il est extrêmement dangereux d'utiliser ces outils sans être suivi...

 

 

H:\tempo sys d 2\Program Files\MailSkinner\OLSkinner.dll

--> Nous allons faire une dernière vérification :

 

# Télécharge Navilog1 de IL-MAFIOSO

• Enregistre-le sur ton bureau
  
• Double-clique sur navilog1.exe pour lancer l'installation
  
• Dans le dossier qui vient de se créer, exécute navilog1.exe
  ---> Une fois l'installation terminée, le fix s'exécutera automatiquement (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau)
  
• Après l'installation, le fix se lance normalement (sinon, clique sur Navilog1 pour démarrer manuellement)
  
• Choisis l'option 1 (PAS les autres !!!!)
  
• Attends jusqu'à l'apparition du message *** Analyse Terminée le ..... ***
  
• Presse une touche pour faire apparaître le rapport
  
• Copie-colle tout ce rapport dans ta prochaine réponse
  
• Ferme le bloc-note (le rapport est enregistré à l'emplacement <RACINE>\fixnavi.txt)
  

 

Dernière chose pendant que j'y pense tu m'as dit Wawaseb que je devrais mettre à jour mon java

est ce le moment ? et comment ?

--> Elle devrait se mettre à jour toute seule incessamment sous peu !

--> Voir [O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"]

 

Bonne fin d'après-midi à toi !

[lucma]

Bonjour Wawaseb

 

Je répond dans l'ordre de tes remarques et questions :

 

captures

1 > "Temps limite dépassé lors de la connexion au serveur pop.free.fr -> OK"

http://theproofofthepudding.net/ftp-divers...pop.free.fr.gif

que j'ai depuis hier soir environ mais mon Thunderbird ne me le fait pas pour mes compte Gmail qu'il rapatrie normalement. le message apparaît au bout de 2 mn environ et bien sûr je ne récupère pas les mails de ces comptes free.

 

2> " Un script sur cette page est peut être occupé ou ne répond plus. Vous pouvez arreter le script maintenant ou attendre pour voir si le script se terminera.

http://theproofofthepudding.net/ftp-divers...9pond%20pas.gif

Que j'ai depuis 2/3 semaines (je ne sais pas associer ce changement à un changement dans ma config.)

 

Non je n'ai pas vidé ma restauration du système récemment

j'ai supprimé les points de restauration du système puis reconstruit un un il y a peut être aussi 2/3 semaines

j'ai cru bien faire pour parfaire un nettoyage du système par CrapCleaner - pour qu'il aille plus vite - honnêtement je ne sais plus exactement

Il faut savoir que j'ai eu un pb de spyware ou autre en juillet et que j'avais été guidé par Bruce Lee et Cyrrus. (Pour mon pc fixe et pour mon portable) Donc c'est moi qui a utilisé combofix mais sous la gouverne de ces guides (aucune manip de ma propre initiative avec combofix)

si tu veux voir les posts je peux essayer de les retrouver.

 

J'embraye sur la vérification navilog

 

à bientôt.

Cordialement,

Lucma

****

[lucma]

Voilà c'est fait

malgré une installation de navilog qui n'était pas 100% sans acoup

il faut dire que je ne sais pas toujours exactement quoi répondre avec mon pare feu comodo

dans le cas d'installation de prog ou d'analyses de ces mêmes programmes, quand je considère que c'est une source sure je dit oui à tout.

Mais il met souvent souvent des messages. Je suppose que je ne sais pas bien m'en servir. Si tu connais un tuto en français je suis preneur...

 

En tous cas voir le rapport d'analyse de navilog ci après.

 

à bientôt j'espère

 

Lucma

 

Search Navipromo version 3.4.0 commencé le 14/01/2008 à 13:46:01,76

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings�_lucma\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings�_lucma\MENUDM~1\PROGRA~1" ***

 

 

*** Recherche dossiers dans ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings�_lucma\local settings\application data" *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings�_lucma\local settings\application data" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 14/01/2008 à 14:00:52,40 ***

[WawaSeb]

Bonsoir lucma,

 

*** Ton PC est réellement propre, il n'y a plus de souci à se faire ! ***

 

En ce qui concerne ton premier message d'erreur :

http://theproofofthepudding.net/ftp-divers...pop.free.fr.gif

--> Je penche plus pour un problème de configuration de Thunderbird (Free a peut-être changé des paramètres, à moins que ce ne soient tes réglages POP qui aient sauté)

 

Par rapport à ceci :

http://theproofofthepudding.net/ftp-divers...9pond%20pas.gif

--> Disposes-tu de la dernière version de FireFox ?

--> Dans FireFox, clique sur Outils -> Extensions et reposte-moi une capture d'écran...

firefox (configuré pour réouvrir les derniers onglets utilisés

--> Quels sont les URL's de ces onglets ?

 

 

1) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

2) Peux-tu reposter également un rapport HijackThis, histoire de vérifier que SUN a bien installé la dernière version de sa console JAVA ?

 

Bonne nuit à toi !

[lucma]

Bonsoir Wawaseb,

 

je viens d'avoir une idée suivi d'un déblocage immédiat

j'utilisais Thunderbird derrière drop my rights

je viens de l'utiliser sans et là je récupère mes messages comme avant youpi !

Peut être que c'était pas une bonne idée thunderbird derrière drop my rights qu'en penses-tu ?

 

Sinon ma version de firefox :

firefox 2.0.0.11

 

les onglets que j'ouvre :

http://www.google.com/calendar/render?gses...4DMs&pli=1|

https://mail.google.com/mail/

http://www.exalead.fr/search/homepage

http://my.opera.com/cg.students/links/

 

les extensions :

http://theproofofthepudding.net/ftp-divers...fox%20lucma.png

 

Ceci dit j'ai un autre pb plus grave que je donne dans la version courte :

j'ai voulu mettre à jour mon parefeu et mon pc ne veut bien démarrer que quand je demande retourner à la dernière bonne config. connue

en plus je ne sais pas si Comodo 3.0.15.277 est bien installé (j'ai réussi à mettre à jour mais pas de manière fluide.

Faut il que je poster éventuellement ce pb ailleurs et si oui où ?

 

Sinon je vais faire tes manips ATF et HJT

merci merci merci

et bonne nuit aussi

 

Lucma

[lucma]

suite et fin

 

manip ATF : faite

manip HJT

 

dodo maintenant....

 

voilà le log :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:05:26, on 15/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\WINDOWS\system32\netdde.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\Program Files\Comodo\CBOClean\BOCORE.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\clipsrv.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\Comodo\CBOClean\BOC425.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\Program Files\Comodo\Firewall\cfp.exe

C:\Program Files\Clavier+\Clavier.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Comodo\Comodo AntiSpam\CAS32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\LetMeType\LetMeType.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.exalead.fr/search/homepage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=localhost:8118;http=localhost:8118;https=localhost:8118;socks=localhost:9050

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll

O2 - BHO: Exalead Toolbar BHO - {04F9D268-DC1F-4BF9-AD5D-7DDCEB514294} - C:\Program Files\Exalead\Exalead Toolbar\ExaleadToolbar.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: PrivBar - {300BC64A-BF32-4cc8-8917-91148CEFE700} - C:\DropMyRights\PrivBar.dll

O3 - Toolbar: Exalead Toolbar - {8F6D9079-D956-4D31-B7CC-CE6FA3044EE5} - C:\Program Files\Exalead\Exalead Toolbar\ExaleadToolbar.dll

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [bOC-425] C:\PROGRA~1\Comodo\CBOClean\BOC425.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [TweakDUN] C:\Program Files\TweakDUN\tweakdun.exe splash

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\cfp.exe" -s

O4 - HKCU\..\Run: [Clavier+] C:\Program Files\Clavier+\Clavier.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Comodo AntiSpam.lnk = C:\Program Files\Comodo\Comodo AntiSpam\CAS32.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: LetMeType.lnk = C:\Program Files\LetMeType\default.lmt

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.deezer.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1187730550953

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: exalead - {39076C07-7014-41FF-A3CD-841360B1C2EC} - C:\Program Files\Exalead\Exalead Desktop\ExaScheme.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: BOCore - COMODO - C:\Program Files\Comodo\CBOClean\BOCORE.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

O23 - Service: Tor Win32 Service (tor) - Unknown owner - C:\Program Files\Vidalia Bundle\Tor\tor.exe (file missing)

O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe

 

--

End of file - 10510 bytes

Modifié le 14 janvier 2008 par lucma

[WawaSeb]

Bonsoir lucma,

 

*** Ton dernier rapport HijackThis est toujours propre ! ***

 

 

1) Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure.

• Enregistre ToolsCleaner2.exe sur le Bureau puis décompresse-le
  
• Double-clique dessus, puis clique sur Extract --> Le programme va s'installer dans le dossier C:\ToolsCleaner2\
  
• Ouvre ce dossier et double-clique sur ToolsCleaner2.bat --> L'icône ressemble à ceci :
  
• Suis les instructions qui apparaissent à l'écran (dans la fenêtre noire) et laisse l'outil travailler...
  
• Ouvre le rapport que tu trouveras là : C:\TCleaner.txt
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse
  

---> Les icônes de ton bureau et la barre des tâche va disparaître, ne t'inquiète pas...

Si tout cela ne revient pas après le passage du logiciel :

# Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
   
2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u4, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
   
3. Clique sur "Download", à droite
   
4. Coche la case et accepte la license
   
5. La page se recharge
   
6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
   
7. Ferme tous tes programmes (surtout les navigateurs Internet)
   
8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
   
9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
   
10. Clique sur le bouton "modifier / supprimer"
    
11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
    
12. Redémarre ta machine
    
13. Après le reboot, clique sur jre-6u4-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
    

firefox 2.0.0.11

--> C'est bien la dernière version !

--> Il n'y a rien de très particulier dans les onglets que tu ouvres au lancement de FireFox (XML, D-HTML, javascript, ...)

 

----------------------------------------------------------------------

 

---> En ce qui concerne les extensions, pourrais-tu les désactiver une par une et tester entre chaque coup afin de voir celle qui pose sans doute problème stp ?

 

 

 

je ne sais pas si Comodo 3.0.15.277 est bien installé

--> A ta place, je désinstallerais complètement le pare-feu pour le ré-installer après reboot et le mettre à jour !

--> Les malware's ont peut-être abîmé certains composants...

[lucma]

Bonjour Wawaseb

 

je ne suis pas encore rentré chez moi (là où il y a mon poste)

mais d'ores et déjà je peux te dire que peut être ma réponse ne sera pas instantanée car mon ordi ne démarre plus

je l'ai assemblé en juillet et j'ai laissé un panneau ouvert au cas où mais la poussière s'est infiltrée méchamment.

 

Je viens d'acheter une bombe à air et je croise les doigts pour qu'il redémarre après un dépoussierrage intensif (et un empoussierage de mon bureau sans doute !!.

Sinon j'utilise aussi parfois un autre poste - portable ce qui me permettra de converser quand même.

 

à bientôt

 

Lucma.

[lucma]

Bonsoir Wawaseb,

Le dépoussièrage a porté ses fruits

ça a démarré plutôt bien

Il y a juste un petit message qui me chagrine avant l'arrivée de Windows :

mais je ne m'en rappelle plus je le dirai plus tard (et peut être sur un autre post) car il faut que je redémarre.

 

Il me semble que la version 2.0.8 de ToolsCleaner! de A.Rothstein ne soit pas celle que tu me décris.

Je n'ai pas trouvé ToolsCleaner2.bat - les icones bureau etc n'ont pas disparu etc.

je pense par contre que le résultat est le même

Je n'ai fait aucune action du panneau >>

http://www.theproofofthepudding.net/ftp-di...oolscleaner.png

 

Voilà ce que ça donne au cas où tu ne vois pas l'image :

-->- Recherche:

 

C:\SdFix.exe: trouvé !

C:\Combofix: trouvé !

C:\Qoobox: trouvé !

C:\Documents and Settings�_lucma\Bureau\Navilog1.exe: trouvé !

C:\Documents and Settings�_lucma\Recent\HijackThis.lnk: trouvé !

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\SECURITE\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\SECURITE\Navilog1: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\SECURITE\HijackThis\HijackThis.lnk: trouvé !

C:\Program Files\Navilog1: trouvé !

C:\Program Files\Navilog1\Navilog1.bat: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\WINDOWS\Gmer.exe: trouvé !

 

Que faut il faire

cliquer sur les 3 btns du bas puis sur le btn Suppression ?

[lucma]

re,

 

je viens d'installer Java

téléchargement de la version "jre-6u4-windows-i586-p.exe"

désinstallation en ayant fermé ts prg et navigateurs

(je n'en avais qu'un)

redémarrage

là j'ai lancé firefox et opera par erreur puis refermé

lancé l'install

tout baigne...

 

Concernant le parefeu que j'avais Comodo anglais v 3

http://www.personalfirewall.comodo.com/

je l'avais désinstallé puis installé une version french

 

Concernant le démarrage buggé de Firefox

je crois que je n'ai même plus le pb.

 

à+

c'est génial de pouvoir se faire aider comme ça

si tu as un pb toi même concernant les prg graphiques c'est ma spécialité (15 ans d'enseignement là dedans)

 

à bientôt.

Cordialement,

Lucma

****