Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)
Mais, j'ai eu un petit probleme avec l'antivirus en ligne... Internet explorer se plantait a chaque fois ke je tentais d'acceder a la page ke tu me donnais. J'ai tenté plusieurs fois de le faire marcher, mais en vain...

 

Pas grave, vundo a été éradiqué d ou la mention (file missing) c a d "fichier manquant", au prochain fix de cette ligne, elle n apparaitra plus!

 

J analyse le reste de ton rapport, réponse dans un moment!

 

Arf, tu t es chopé d autres saletés entre temps :P Bon voila ce que je vais faire, je vais nettoyer d abort ton rapport puis je terminerais par les nouvelles dll infectueuses!

Modifié par Jack_Burton

Posté(e) (modifié)

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ -Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

-Télécharge About:Buster : http://downloads.subratam.org/AboutBuster.zip

Dézippe dans un répertoire dédié place un raccourci sur le bureau et mets à jour

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche le service avec cette orthographe exacte:

- Network Security Service

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fptyd.dll/sp.html#28129

 

R3 - Default URLSearchHook is missing

 

O2 - BHO: Class - {05A31BEE-9E35-88EA-21E0-006563AE97F4} - C:\WINDOWS\ntyn.dll (file missing)

 

O2 - BHO: Class - {2D6035DE-3120-DCA0-6CA3-399E0B83B881} - C:\WINDOWS\system32\addmj32.dll

O2 - BHO: Class - {BFD9FA3A-C0CE-30AE-2B7C-0F987054EF24} - C:\WINDOWS\system32\netjr.dll

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [ieyr.exe] C:\WINDOWS\system32\ieyr.exe

O4 - HKLM\..\Run: [100.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\100.tmp.exe

O4 - HKLM\..\Run: [101.tmp] C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp\101.tmp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

 

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131438419023

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102...all/xscan53.cab

 

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkpe.exe<--- il est fort probable que cette ligne n apparaisse pas du fait que l on a stoppé le service en question!

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\fptyd.dll

-C:\WINDOWS\ntyn.dll<--- ne devrait plus etre présente !

 

-C:\WINDOWS\system32\addmj32.dll<---si cette dll réapparait au prochain rapport, nous repasserons par une autre procédure!

-C:\WINDOWS\system32\netjr.dll<---si cette dll réapparait au prochain rapport, nous repasserons par une autre procédure!

 

-C:\WINDOWS\system32\ieyr.exe

 

-C:\DOCUME~1\JEAN-L~1\LOCALS~1\Temp<--- vide completement ce dossier!

 

-C:\WINDOWS\system32\sdkpe.exe

 

7/ Exécute About:Buster à deux reprises

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par Jack_Burton
Posté(e) (modifié)

Re bonjour a tous, re cedekasme,

 

Petite précision : contrairement a ce que j ai dit dans mon 1er post, tu n es pas infecté par Vundo mais par CoolWebSearch! Je me suis un peu embrouillé avec toutes ces lignes 02 infectueuses!

D un coté tant mieux, ce sera plus simple a désinfecter ton systeme :P

A tout a l heure

Modifié par Jack_Burton
Posté(e)

C'est re-moi !

 

Donc voila, j'ai fait tout ce ke tu m'as dit !!

Et apparemment ça a marcher niiikel !! :P

Antivir ne me detecte plus les troyens au demarrage de internet explorer !

Je te poste le log de HiJackThis au cas ou, tu trouves autre chose :P

 

Merci encore @ toi Jack_Burton !! :-P

 

****************************************************

 

Logfile of HijackThis v1.99.1

Scan saved at 16:01:02, on 08/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AVPersonal\AVSCHED32.EXE

C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\AMD\PowerNow!\GemServ.exe

C:\Program Files\AMD\PowerNow!\gemback.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HijackThis\HijackThis.exe

C:\WINDOWS\System32\imapi.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSCHED32.EXE /min

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{86FDCE01-D03F-4EF4-9CCD-7CD6674DBB10}: NameServer = 193.252.19.3,193.252.19.4

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: AMD PowerNow! Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Posté(e)

Re bonjour a tous, re bonjour cedekasme,

 

Ton rapport est propre, je ne vois plus rien d infectueux!

 

As tu toujours des dysfonctionnements? Apparemment non d apres ce que tu m as dit mais je préfere m en assurer!

Posté(e)

Ravi que tout soit rentré dans l ordre!

 

A présent, quelques conseils de sécurité :

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)

- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

 

- scan hebdomadaire antispyware

 

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Tu dois également installer les outils suivants:

 

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

-=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

 

 

-=> Un vrai pare-feu (pas le joujou offert avec XP)

 

-Kerio

-Zone Alarm

-Sygate Personal Firewall Free

 

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252

 

 

-=> SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

-=> Ad-awareSE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

 

-=> SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

 

-=> a² free (anti-trojans)

 

- Téléchargement : http://www.emsisoft.net/fr/software/free/

Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel!

 

-=> ZebProtect

 

http://www.zebulon.fr/articles/zebprotect.php

http://telechargement.zebulon.fr/123.html

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...