DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 17 Nov 2024 à 1:46 FAQ | Rechercher | Membres | Groupes

Bilan de santé [RESOLU]


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 04 Déc 2007 à 15:53    Sujet du message: Bilan de santé [RESOLU] Répondre en citant

Bonjour à tous

Je me suis inscrit ici pour que vous me donniez votre avis, si vous en avez toutefois le temps ...

Je trouvais mon pc assez mal en point (il était lent et mal protégé) et une personne assez compétente (enfin je pense) me l'a confirmé : trop de programmes inutiles tournaient, de plus mon pc était infecté etc ... on m'a conseillé pour la sécurité d'installer Nod32 comme antivirus et Kerio comme pare-feu. Pensez-vous que ces logiciels soient corrects ?

J'ai fait des recherches sur tous les processus, lancé des analyses antivirus, lancé Spybot également (qui m'a viré une cinquantaine de malwares..), parcouru quelques forums afin d'améliorer son état !

Bref après toutes ces maniulations, j'aimerais que vous me confirmiez qu'il n'y a maintenant plus rien à signaler, ou les modifications que je dois effectuer. Pour cela je vous copie le log de HijackThis :


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {71C718C7-BFCE-4EBD-D993-74FA61FCFCC3} - C:\DOCUME~1\LOTARD~1\APPLIC~1\WINDOW~1\bold peak.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [download curb] C:\DOCUME~1\LOTARD~1\APPLIC~1\DELETE~1\Jump remote.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222
O18 - Filter hijack: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe



Y a-t-il encore quelque chose à craindre ?

Je vous remercie d'avoir prêté attention à ma requête.

Cordialement,

Benjamin. 


Dernière édition par CalicoJack le 07 Déc 2007 à 19:57; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 04 Déc 2007 à 19:35    Sujet du message: Répondre en citant

Bonjour CalicoJack

1/

- Télécharge : Lopxpsetup.exe (de Moe) http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

- Double clic sur Lopxpsetup.exe afin de lancer l'installation
- Au menu, choisis l'option 1
- Patiente jusqu'à que l'on te demande d'appuyer sur une touche, fais le.
- Le bloc notes s'ouvrira, copie/colle la totalité du contenu du bloc notes dans ta prochaine réponse.

2/

==>

- Imprime ces instructions, il va y avoir un redémarrage de l'ordinateur

==>

- Télécharge le FixWareout d'un de ces sites sur le bureau:
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe


- Winsockfix : http://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml ou ici http://www.snapfiles.com/get/winsockxpfix.html enregistre ce fichier sur le bureau (Pour son utilisation voir en fin de procédure)




==>

- Navigateur ainsi que toutes les applications en cours fermés
- Double clic sur Fixwareout.exe

- Clique sur Next puis Install

- Assure toi que Run fixit est activé puis clique sur Finish

- Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.

- Ton système mettra un peu plus de temps au démarrage, c'est normal.

- Quand ton système aura redémarré, suis les invites des messages.


- A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.



==>

- Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis avec l'entête compléte cette fois-ci


** Note : En cas de perte de connexion, lance Winsockfix
- clique sur ReG-Backup pour créer une sauvegarde du registre, dans un dossier de ton choix.

- Une fois la sauvegarde éffectuée, clique sur Fix , au message WinsockFix will now attempt to Repair your connection Clique sur "OUI"

- Patiente le temps que la réparation se fasse,à la fin des corrections au méssage suivant Repair completed Please Reboot , cliques sur OK ton Pc va redémarrer.

- Je le répéte n'utilise Winsockfix que si tu as une perte de connection 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 05 Déc 2007 à 11:42    Sujet du message: Répondre en citant

Bonjour, merci d'avoir répondu si rapidement.

Voici les trois rapports que j'ai obtenus :



Rapport Log supprimé-






Username "L‚otard Benjamin" - 05/12/2007 10:27:51 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PadTouch"="C:\\Program Files\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"CeEKEY"="C:\\Program Files\\TOSHIBA\\E-KEY\\CeEKey.exe"
"TOSHIBA Accessibility"="C:\\Program Files\\TOSHIBA\\Accessibility\\FnKeyHook.exe"
"HWSetup"="C:\\Program Files\\TOSHIBA\\TOSHIBA Applet\\HWSetup.exe hwSetUP"
"SVPWUTIL"="C:\\Program Files\\Toshiba\\Windows Utilities\\SVPWUTIL.exe SVPwUTIL"
"Zooming"="ZoomingHook.exe"
"TCtryIOHook"="TCtrlIOHook.exe"
"TPSMain"="TPSMain.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"TFncKy"="TFncKy.exe"
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"LogitechVideoRepair"="C:\\Program Files\\Logitech\\Video\\ISStart.exe "
"AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"download curb"="C:\\DOCUME~1\\LOTARD~1\\APPLIC~1\\DELETE~1\\Jump remote.exe"
"CursorXP"="C:\\Program Files\\CursorXP\\CursorXP.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~







Log supprimé




Et voilà.
Merci d'avance pour l'analyse de toutes ces joyeusetés .. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 05 Déc 2007 à 14:42    Sujet du message: Répondre en citant

IMPORTANT: La procédure ci-dessous a été intentionnellement rédigée pour cet utilisateur.
si vous n'êtes pas cet utilisateur, ne pas appliquer ces directives : elles pourraient endommager votre système.



[*] Procédure à appliquer en entier. Si tu as des difficultés à une étape passe la mais signale le dans ta prochaine réponse.
- Si tu as des questions à poser n'hésite pas



[*] Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht)

- Donne lui un nom
- Enregistre la sur le bureau. Comme cela tu retrouvera la mise en forme. Ou bien imprime cette réponse, une partie de la désinfection se déroulera en mode sans échec sans prise en charge du réseau. L'accés à internet ne sera donc pas possible




=========================================


[*] Télécharge et installe :

[*] CCleaner http://www.sosordi.net/Telechargement/logiciel-147-ccleaner
- Lors de son installation décoche la case devant : Ajouter la Barre d'Outils Yahoo! CCleaner


[*] AVG Anti-Spyware http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe

==> Démarre AVG Anti-Spyware, clique sur Mise à jour . La mise à jour faite,clique sur Analyse puis sur l'onglet Paramétres

- Clique sur Actions recommandées choisis Quarantaine

- Sous Rapports, cocher:

- Générer un rapport après chaque analyse
- Uniquement en cas de menaces"


- Quitte AVG Anti-Spyware

Note : Si au moment de la mise à jour d'AVG AS ce message s'affiche Sorry, the server is not ready to serve. Please try again later abandonne la mise à jour mais continue la procédure.

- Si tu as des difficultés pour configurer AVG AS consulte ce tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.php




=========================================



[*] Redémarre ton PC en mode sans échec



Citation:
Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les les fléches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur




[*] Relance Hijackthis, clique sur Do a scan system only coche la case devant les lignes suivantes

O2 - BHO: (no name) - {71C718C7-BFCE-4EBD-D993-74FA61FCFCC3} - C:\DOCUME~1\LOTARD~1\APPLIC~1\WINDOW~1\bold peak.exe (file missing)
O4 - HKCU\..\Run: [download curb] C:\DOCUME~1\LOTARD~1\APPLIC~1\DELETE~1\Jump remote.exe


- Ferme les fenêtres en cours sauf hijackthis, clique sur Fix checked



=========================================


- Autorise l'affichage des fichiers et dossiers cachés de cette façon

- Poste de travail menu Outils - Option des dossiers onglet Affichage

Sélectionner Afficher les Fichiers et dossiers cachés
Décocher Masquer les extensions dont le type est connu
Clique sur Appliquer et Ok pour valider les changements

- Supprime :

C:\WINDOWS\tasks\A0EB40149188FF50.job <== ce fichier

C:\Documents and Settings\Lotard Benjamin\Application Data\ le dossier qui commence par delete




[*] Démarre Ccleaner

- Clique sur Registre décoche la case devant Intégrité du registre

- Clique sur Nettoyeur
- Onglet Windows ne coche pas la case Avancé
- Onglet Applications laisse toutes les cases cochées
- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage




[*] Démarre AVG Antispyware


- Clique sur Analyse puis sur Analyse compléte du systéme

- Si un fichier infecté est détecté en fin d'analyse

- Clique sur Appliquer toutes les actions

- Clique sur sur Enregistrer le rapport ==> Enregistrer le rapport sous et enregistre ce rapport sur le bureau.



=========================================



[*] Redémarre ton PC en mode normal poste :

- Un nouveau rapport Hijackthis
- Le rapport d'AVG Anti-Spyware


Note : Dans ta prochaine réponse donne aussi le nom de ton fournisseur d'accés. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 05 Déc 2007 à 19:35    Sujet du message: Répondre en citant

Eh bien voilà j'ai suivi tes instructions à la lettre. Je n'ai rencontré qu'un petit problème : je n'ai pas trouvé le fichier C:\WINDOWS\tasks\A0EB40149188FF50.job (les fichiers cachés étant bien affichés)


Voilà le nouveau rapport HijackThis :


Log supprimé




Et le rapport AVG :


---------------------------------------------------------
Log supprimé




Et mon FAI est Free.

Encore merci de ton aide. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 05 Déc 2007 à 19:55    Sujet du message: Répondre en citant

Si Free est ton fai, tu est victime d'un détournement de DNS

- En mode sans échec

[*] Relance Hijackthis, clique sur Do a scan system only coche la case devant les lignes suivantes

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A5A7246-145C-436B-B17A-68ABC04031E0}: NameServer = 223.222.222.222,222.222.222.222

- Ferme les fenêtres en cours sauf hijackthis, clique sur Fix checked

- Redémarre en mode normal, refais un scan avec Hijackthis poste son rapport.

- En cas de parte de connexion utilise Winsockfix la manip pour son utilisation est dans ma premiére réponse.

=============================

- Pour info :

223.222.222.222

Citation:
223.0.0.0 - 223.255.255.255
Internet Assigned Numbers Authority
4676 Admiralty Way, Suite 330
Marina del Rey, CA
US


222.222.222.222

Citation:
222.222.0.0 - 222.223.255.255
CHINANET hebei province network
China Telecom
No.31,jingrong street
Beijing 100032
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 05 Déc 2007 à 22:59    Sujet du message: Répondre en citant

Et voici un rapport tout chaud :


Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 05 Déc 2007 à 23:09    Sujet du message: Répondre en citant

- C'est Ok ton rapport hijack est propre, pas de traces d'infections dedans

- Démarre AVG Anti-Spyware
- Clique sur Infections - Tout sélectionner - Supprimer définitivement

- Vide la corbeille

- Reste l'épreuve du feu à passer, un scan en ligne avec Kaspersky.



- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActivX

- Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé:



- Pour t'aider à utiliser le scan en ligne http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566
- Si tu as un probléme pour l'installation du Contrôle ActivX lis ceci http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 06 Déc 2007 à 1:20    Sujet du message: Répondre en citant

Voilà le rapport Kaspersky :

http://cjoint.com/?mgaqz8lNHG

Jsais pas comment tu arrives à trouver des informations dans ce fouillis ...

J'attends ta réponse avec impatience Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 06 Déc 2007 à 13:16    Sujet du message: Répondre en citant

- Télécharge OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe sur ton Bureau.

- Double-clique sur OTMoveIt.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

Citation:
C:\Documents and Settings\Léotard Benjamin\Local Settings\Temp\bis20E.exe
C:\Documents and Settings\Léotard Benjamin\Local Settings\Temp\bis8F4.exe
C:\Documents and Settings\All Users\Application Data\Mp3ManagerDupeVga
C:\Documents and Settings\All Users\Application Data\remoteuploadnameitch
C:\Program Files\ESET\cache\FND0.NFI
C:\Program Files\ESET\infected\L531Q2AA.NQF


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

================================

- Supprime C:\_OTMoveIt

- Désactive la restauration du systéme sur tous les lecteurs.

- Comment désactiver la restauration du systéme : http://www.libellules.ch/desactiver_restauration.php

- Redémarre, réactive la restauration du systéme
- Refais un scan avec Kaspersky, poste son rapport. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 06 Déc 2007 à 15:19    Sujet du message: Répondre en citant

Bonjour !

Voilà le rapport généré par OTMoveIt :

C:\Documents and Settings\Léotard Benjamin\Local Settings\Temp\bis20E.exe moved successfully.
C:\Documents and Settings\Léotard Benjamin\Local Settings\Temp\bis8F4.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\Mp3ManagerDupeVga moved successfully.
C:\Documents and Settings\All Users\Application Data\remoteuploadnameitch moved successfully.
C:\Program Files\ESET\cache\FND0.NFI moved successfully.
C:\Program Files\ESET\infected\L531Q2AA.NQF moved successfully.

Created on 12/06/2007 12:21:50



Et celui de Kaspersky :

http://cjoint.com/?mgoqXCcKpo 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 06 Déc 2007 à 17:33    Sujet du message: Répondre en citant

- Supprime le contenu de cache et d'infected d'Eset, mais ne supprime pas les dossiers eux mêmes

C:\Program Files\ESET\cache
C:\Program Files\ESET\infected

- Vide ensuite la corbeille. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 06 Déc 2007 à 18:36    Sujet du message: Répondre en citant

Voilà

Mais j'ai un fichier Cache.NDB que je ne peux pas supprimer dans le dossier cache. Bad Grin 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 06 Déc 2007 à 19:37    Sujet du message: Répondre en citant

Laisse le en place ce dernier est probalement en cours d'utilisation.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
CalicoJack



Inscrit le: 04 Déc 2007
Messages: 9

MessagePosté le: 06 Déc 2007 à 23:45    Sujet du message: Répondre en citant

Et maintenant c'est fini ? Laughing

Que dois-je faire à l'avenir pour me prémunir de ce genre de désagréments ?

Et encore merci pour tout le processus ! Evil or Very Mad 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum