Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

ZoX',

 

Si je t'ai invité à poster, c'est que j'avais confiance !

 

Tu appelles "erreur" les lignes que j'ai enlevées... non, c'est moi qui pinaille et qui ne veux pas mélanger désinfection et optimisation.

Je suis d'avis de répondre à la demande de l'internaute, c'est à dire le nettoyage du système (tesgaz est dans les starting-blocks et tu verrais ce qu'il enlèverait si Bond le lui demandait... LOL).

Lorsque le système est propre et si l'internaute le demande, on peut passer à la phase d'optimisation mais j'avoue que mon découpage est un peu théorique !

 

 

En tous cas, encore une fois (désolé de ne pas m'être correctement exprimé), c'est parce que je savais que tu répondrais correctement que j'ai fait appel à toi cette après-midi !

Je suis personnellement totalement satisfait de ta réponse ! et si tu en as envie, je t'encourage à persévérer !

Posté(e) (modifié)
ZoX',

 

Si je t'ai invité à poster, c'est que j'avais confiance !

 

Tu appelles "erreur" les lignes que j'ai enlevées... non, c'est moi qui pinaille et qui ne veux pas mélanger désinfection et optimisation.

Je suis d'avis de répondre à la demande de l'internaute, c'est à dire le nettoyage du système (tesgaz est dans les starting-blocks et tu verrais ce qu'il enlèverait si Bond le lui demandait... LOL).

Lorsque le système est propre et si l'internaute le demande, on peut passer à la phase d'optimisation mais j'avoue que mon découpage est un peu théorique !

En tous cas, encore une fois (désolé de ne pas m'être correctement exprimé), c'est parce que je savais que tu répondrais correctement que j'ai fait appel à toi cette après-midi !

Je suis personnellement totalement satisfait de ta réponse ! et si tu en as envie, je t'encourage à persévérer !

553221[/snapback]

 

Non tu a raison de "pinailler", il faut répondre aux attentes des gens et pas faire ce que l'on veut!!

 

Et bien sur je continuerais à tenter de répondre au mieux aux exigences des internautes donc les conseils sont tous les bien venus :P

Modifié par ZoX'
Posté(e)

ZoX'

 

Merci !

 

Tu peux compter sur charles ingals, megataupe, Pollux_63, Stonangel, tesgaz (ordre alphabétique) et d'autres pour répondre à tes questions si tu en as besoin !

 

Je suis sûr que tu as l'admiration de tous car c'est stressant de répondre et c'est un boulot incessant de rester informé !

 

Un autre conseil que je peux donner :

- poste toujours par plaisir sans jamais te sentir forcé, poste à ton rythme, quand tu le sens !

 

-----

 

Je rappelle à tous qu'il y a bien d'autres manières d'aider les internautes ! Ainsi notre vrai but est d'enseigner et de diffuser la nécessité de prévention, ce qui est plus facile que d'analyser et nettoyer une infection...

 

Au fait, nous avons une bonne procédure "Pré-Nettoyage d'un PC infecté"...

 

Il faudrait mettre au point d'autres parties comme "Opérations après nettoyage" (remise en place des paramètres modifiés comme l'affichage de tous les fichiers, vidage éventuel de la zone de restauration, examen disque et défragmentation -lors du nettoyage, on supprime des fichiers et on crée des "trous" dans l'espace disque-, etc.), comme "Conseils de prévention", et d'autres.

Posté(e) (modifié)

Okay ipl Merci pour ces conseils j'essayerais d'en faire bon usage :-P et je pense être assez passionné pour suivre au jour le jour les évolutions des malwares :P

 

En tout cas merci à tous mais il faudrait peu-être penser a notre mister Bond :P Qu'en est-il de tes problèmes après suppression des lignes sur hijackthis?

 

Veux tu bien poster un nouveau log après avoir redémarrer pour vérification

Modifié par ZoX'
Posté(e)

Et oui c'est vrai que ce n'est pas facile mais bon :P

 

En tout cas merci à tous mais il faudrait peu-être penser a notre mister Bond icon_biggrin.gif Qu'en est-il de tes problèmes après suppression des lignes sur hijackthis?

 

Veux tu bien poster un nouveau log après avoir redémarrer pour vérification

 

Alors Bond des nouvelles?

Posté(e)
Salut à tous

 

ZoX',

pas facile de rentrer dans la bataille aux malwares, donc un petit coup de chapeau pour ton initiative :P

 

Bond,

tu n'as pas reposté ton rapport pour savoir si tout est propre avant qu'on passe un coup de javel par derriere :P

553198[/snapback]

désolé

 

rapport HijackThis ci joint

 

Logfile of HijackThis v1.99.1

Scan saved at 00:58:22, on 17/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\program files games\valve\steam\steam.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: (no name) - {14270854-4CF0-6A54-913B-18AFF6D56803} - (no file)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: (no name) - {39A9569F-F066-2320-8AF0-DF6A373D414A} - (no file)

O2 - BHO: (no name) - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: (no name) - {C40457D9-D338-5738-22C0-B94004FBA803} - (no file)

O2 - BHO: (no name) - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - (no file)

O2 - BHO: (no name) - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - (no file)

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "d:\program files games\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} -

O16 - DPF: {11111111-1111-1111-1111-111300000000} -

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} -

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} -

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

 

Y'a des petits changements du coté AntiVirus

Sinon...

 

Encore merci :-P

Posté(e) (modifié)

Je te répond des que j'ai fini Bond

 

 

Je viens de regarder un par un tes porcessus rien d'anormal, je m'attaque a ton log hijackthis mais je ne comprend pas pourquoi quand tu supprime une ligne elle revient aussi tôt...

 

Voilà alors j'ai bien peur de me répeter mais bon, coche les lignes :

 

O2 - BHO: (no name) - {0B043178-7412-F22A-4F6E-DA5B78A513E5} - (no file)

O2 - BHO: (no name) - {14270854-4CF0-6A54-913B-18AFF6D56803} - (no file)

O2 - BHO: (no name) - {2CD1D1CC-93A2-4880-73A1-4546EB4A5FED} - (no file)

O2 - BHO: (no name) - {319F29F9-90F7-A925-38EF-CE40F8C5F1A2} - (no file)

O2 - BHO: (no name) - {39A9569F-F066-2320-8AF0-DF6A373D414A} - (no file)

O2 - BHO: (no name) - {3AF8483F-BD21-516A-EF15-BDC199252DA8} - (no file)

O2 - BHO: (no name) - {53EC0540-02A9-2B3E-0DB3-0FBF8C8D1BED} - (no file)

O2 - BHO: (no name) - {C40457D9-D338-5738-22C0-B94004FBA803} - (no file)

O2 - BHO: (no name) - {EDD6C5EA-5F3E-7B1D-A3D0-9E3A169E6444} - (no file)

O2 - BHO: (no name) - {FE0CDA20-90B7-D50A-955C-F9DCBB23210C} - (no file)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} -

O16 - DPF: {11111111-1111-1111-1111-111300000000} -

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} -

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} -

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

 

 

Mais je vois un bon point c'est que le "virus" ne se lance plus au démarrage :P

 

Toujours sur Hijackthis -> Config -> Misc tools > delete a file on reboot

 

Entre celà C:\WINDOWS\System32\tss.exe

 

S'il est dejà supprimé normalement c bon, refait au cas ou un scan Antivir, ensuite redémarre et poste a nouveau un log hijackthis.

 

Je te répondrais demain ou alors j'arriverais trop tard et un autre t'aura dejà répondu car la je vais dormir

 

Bonne nuit

 

Edition : Eh bien les lignes O2 et O16, Les O16 sont des activeX qui se téléchargent quand tu es sur Iexplorer et les O2 sont des BHO (Browser Helper Object)

 

Je te répondrais demain ou alors j'arriverais trop tard et un autre t'aura dejà répondu car la je vais dormir

 

Bonne nuit

 

Non finalement je vais attendre huhu

Modifié par ZoX'
Posté(e)

Ok bah bonne nuit moi je vais continuer mes recherches mais je vois que ipl est sur le coup :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...