pages web intempestives alnet indestructible RESOLU

[jlbaty]

Super, on continue !

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique maintenant sur le raccourci de Toolbar-S&D.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

 

Voici le rapport

 

 

-----------\\ ToolBar S&D 1.1.6 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : Intel® Pentium® 4 CPU 2.40GHz )

BIOS : Award Modular BIOS v6.0

USER : jlbaty ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

Firewall : Sunbelt Personal Firewall 4.5.916 T (Activated)

 

"C:\ToolBar SD" ( MAJ : 30-08-2008|00:19 )

Option : [1] ( 31/08/08|21:30 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\AltNet

C:\Program Files\AltNet\Download Manager

C:\Program Files\AltNet\My Altnet Shares

C:\Program Files\KaZaA

C:\Program Files\KaZaA\My Shared Folder

C:\Program Files\Need2Find

C:\Program Files\Need2Find\bar

C:\WINDOWS\iun6002.exe

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://eo.st"'>http://eo.st"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"First Home Page"="http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://eo.st"

 

 

--------------------\\ Recherche d'autres infections

[Falkra]

Kazaa est installé. Ce programme est affilié à de nombreux nids à malwares, et en installe.

Le nettoyage supprimera Kazaa ainsi que le contenu des téléchargements en cours. Sauf manip spéciale avant (je peux faire).

 

Dis moi ce que tu préfères, mais dans un cas comme dans l'autre : Kazaa pourrit ton OS.

[jlbaty]

Kazaa est installé. Ce programme est affilié à de nombreux nids à malwares, et en installe.

Le nettoyage supprimera Kazaa ainsi que le contenu des téléchargements en cours. Sauf manip spéciale avant (je peux faire).

 

Dis moi ce que tu préfères, mais dans un cas comme dans l'autre : Kazaa pourrit ton OS.

 

 

bonjour

 

pas de soucis je n ai pas l intention de l utiliser et n ai aucun téléchargement dessus

[Falkra]

Ok, c'est parti.

 

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici.

 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."

Tape explorer puis valide.

[jlbaty]

ok

 

voici le rapport

 

-----------\\ ToolBar S&D 1.1.6 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Uniprocessor Free : Intel® Pentium® 4 CPU 2.40GHz )

BIOS : Award Modular BIOS v6.0

USER : jlbaty ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

Firewall : Sunbelt Personal Firewall 4.5.916 T (Activated)

 

"C:\ToolBar SD" ( MAJ : 30-08-2008|00:19 )

Option : [2] ( 01/09/08|20:58 )

 

-----------\\ SUPPRESSION

 

Supprime! - C:\Program Files\AltNet\Download Manager

Supprime! - C:\Program Files\AltNet\My Altnet Shares

Supprime! - C:\Program Files\KaZaA\My Shared Folder

Supprime! - C:\Program Files\Need2Find\bar

Supprime! - C:\WINDOWS\iun6002.exe

Supprime! - C:\Program Files\AltNet

Supprime! - C:\Program Files\KaZaA

Supprime! - C:\Program Files\Need2Find

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://eo.st"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"First Home Page"="http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

--------------------\\ Cracks & Keygens ..

 

C:\DOCUME~1\jlbaty\Application Data\Microsoft\Office\Fichiers r‚cents\Crack.lnk

C:\DOCUME~1\jlbaty\Application Data\Microsoft\Office\Fichiers r‚cents\CRACK.xls.lnk

C:\DOCUME~1\jlbaty\Favoris\Cracks - Serials

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 31/08/08|21:33 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 01/09/08|21:01 - Option : [2]

 

-----------\\ Fin du rapport a 21:01:53.51

[Falkra]

Très bien. Poste un nouveau rapport HijackThis stp.

[jlbaty]

le voici

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:45:32, on 01/09/08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe

C:\WINDOWS\lclock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\jlbaty\Bureau\antivirus\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eo.st

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 4947 bytes

[Falkra]

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche (ferme les navigateurs (fenêtres IE surtout, avant de cliquer sur "fix checked"):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eo.st

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

 

Ca va aller mieux. Vérifie côté navigateur, sans oublier les nouveaux onglets.

[jlbaty]

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche (ferme les navigateurs (fenêtres IE surtout, avant de cliquer sur "fix checked"):

 

 

Ca va aller mieux. Vérifie côté navigateur, sans oublier les nouveaux onglets.

 

bonjour

 

Tout parait etre pour le mieux ,encore merci pour votre diligence et votre disponibilité.

 

Je ne vous dis pas a bientot

 

jlbaty

[Falkra]

Ok, impec.

 

EoRezo est douteux : programmes normaux, mais distribués avec des installateurs modifiés à des fins de collecte statistiques... et ça installe quelques saletés (toujours dans cette optique de collecte de données)

 

Désinstalle Toolbar S&D et Fix navilog via ajout/suppression de programmes.

Désinstalle SDFix par ajout/suppression de programmes. Si tu ne le trouves pas, efface ensuite le dossier C:\SDFix à la main.

 

Il faut sécuriser la machine, encore vulnérable, suis bien l'ordre et ne passe à la suite que si ça marche. IE7 doit être installé avant le SP3, si ça pose problème côté IE7 ne mets pas le SP3.

 

Il faut mettre IE à jour, là tu as IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx

(bouton "get it now")

 

Il faudra passer au SP3 de windows XP. (lien)

Puis passer par windows updates régulièrement.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

Antivir + Kerio : très bien.

 

Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).