Sujet Précédent Sujet Suivant

ProxyOverride = *.local : virus ou pas?

Résolu/Fermé
Utilisateur anonyme - 6 nov. 2010 à 14:46
 Utilisateur anonyme - 6 nov. 2010 à 22:39
Salut,

j'ai remarqué une ligne que je n'avais pas dans les rapports Hijackthis précédent.
la ligne R1 qui contient ProxyOverride = *.local.
je ne sais pas d'où ça vient et je me demande si c'est dérangeant ou pas (virus, cheval de troie, ...).
à ma connaissance, je n'utilise pas de proxy. je ne sais pas trop ce que c'est exactement, mais si j'en utilisais un volontairement, je le saurais!
donc si quelqu'un pouvait me dire ce que c'est que cette ligne et si je dois me faire du souci, ça serait sympa.

je ne sais pas si ça a un rapport, ni à quoi c'est dû d'ailleurs, mais 2 ou 3 fois avec Firefox, la croix rouge du symbole "Arrêter le chargement de la page" clignote très rapidement. ça dure à peine 5 secondes et ça s'arrête.

merci pour votre aide.


voilà le rapport généré par Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:37:45, on 06/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Internet\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
D:\Internet\COMODO\COMODO Internet Security\cfp.exe
D:\Utilitaires\Divers\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSI\RtWlan.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - D:\Internet\Mozilla Firefox\extensions\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Internet\Free Download Manager\iefdm2.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [COMODO Internet Security] "D:\Internet\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [SuperCopier2.exe] D:\Utilitaires\Divers\SuperCopier2\SuperCopier2.exe
O4 - Global Startup: MSI Wireless Client Utility.lnk = ?
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Internet\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - D:\Internet\Mozilla Firefox\extensions\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - D:\Internet\Mozilla Firefox\extensions\KeyScrambler\KeyScramblerIE.dll
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Internet\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Utilitaires\Divers\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
A voir également:

8 réponses

Réponse 1 / 8
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
6 nov. 2010 à 15:14
bonjour, moi c'est pas cette ligne qui me pose problème , mais la présence de 2 anti-virus antivir et comodo internet sécurity ???
0
Réponse 2 / 8
Utilisateur anonyme
6 nov. 2010 à 15:15
Salut,

je n'ai pas 2 antivirus mais un seul, Antivir.
Comodo c'est mon pare-feu.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
Modifié par jacques.gache le 6/11/2010 à 15:27
ok mais as tu bien décocher la case pour pas installer l'anti-virus avec , car la perso moi je vois comodo inernet sécurity , perso j'ai la même protection que toi comodo installer que pour le par feu , et antivir je vais de ce pafaire un hijackthis pour vériffier si j'ai bien les même lignes et je te dis cela , mais pour moi non !!

bon ok je viens de vériffier sur mon pc et j'ai bien les même ligne !! désolé d'avoir eu un doute ??

si cette ligne te pose un problème fixe la avec hijackthis !!
0
Utilisateur anonyme
6 nov. 2010 à 15:27
j'ai toujours eu cela d'afficher.
sur mon PC, j'ai bien seulement une icône Comodo Firewall.
vérifie, mais normalement tu devrais avoir la même chose. j'espère...! lol
0
Réponse 3 / 8
Utilisateur anonyme
6 nov. 2010 à 15:25
et cette ligne R1, c'est quoi alors cette histoire de proxy?
et concernant le clignotement de la croix rouge dans Firefox, tu sais d'où ça peut venir? un problème passager mineur?!

j'ai une question subsidiaire :
les lignes O23 sont les services activés si je ne me trompe pas.
alors pourquoi j'ai, par exemple, AppleMobileDeviceService.exe alors que le service est arrêté?! est-ce parce que je l'ai mis en manuel?

merci encore pour ton aide Jacques.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
6 nov. 2010 à 15:32
regarde mon message précédant je l'ai modiffié !! ton service apple !! il est pas lié à un ipod ???

sinon pour moi rien de visible comme infection sur hijackthis , ok normal car il ne vois plus grand chose depuis pas mal de temps , si tu veux vriament savoir poste nous un zhpdiag qui sera plus bavard !!

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

et si problème : http://www.premiumorange.com/zeb-help-process/zhpdiag.html

tu vas en bas de la page et tu télécharges le premier tu et tu dézippes


Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Réponse 4 / 8
Utilisateur anonyme
6 nov. 2010 à 15:39
je l'ai fixé et elle n'apparaît plus.
ça veut dire que c'est bon alors?!

elle signifiait quoi cette ligne finalement?
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
6 nov. 2010 à 15:51
R1 concerne les fonctions de recherche d'Internet Explorer et d'autres particularités.
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#RDiag

sinon par sécurité postes le zhpdiag !!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Utilisateur anonyme
6 nov. 2010 à 16:15
Comodo m'indique que mbr.exe est un programme malveillant!
je fais quoi?!
0
Réponse 6 / 8
Utilisateur anonyme
6 nov. 2010 à 16:28
en fait la fenêtre est partie toute seule. Comodo en a eu marre d'attendre!

voilà un lien vers le fichier txt : http://www.cijoint.fr/cjlink.php?file=cj201011/cijeE7FcMm.txt

alors, verdict?! ^^
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
6 nov. 2010 à 17:49
bonjour, tu vas faire ce qui suit , fixer la lignes donnés avec zhpfix , et puis faire un examen complet de ton pc avec malwarebytes par sécurité , comme il est sur ton pc je te donnerais jsute comment l'utiliser !!!

1) fixes cette ligne comme expliqué

. Copie la ligne suivante en GRAS


O65 - LUF:07/06/2009 (.Pas de propriétaire - vbzlib.) (1.2.3) - c:\windows\system32\vbzlib1.dll



Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc la ligne que tu as copié précédemment apparaitre .

Vérifie que seul la ligne que je t'ai demandé de copier (et seulement elle) est dans la fenêtre.

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



2) fais un examen complet avec malwarebytes

. Double cliques sur Malwarebytes.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
0
Réponse 7 / 8
Utilisateur anonyme
6 nov. 2010 à 18:23
voilà le rapport généré après avoir fixé la ligne avec ZHPFix :
Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
Fichier d'export Registre :
Run by mon_nom at 06/11/2010 18:17:17
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows\system32\vbzlib1.dll => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Fichier(s)


End of the scan


le fichier a bien été supprimé. il n'est plus dans le dossier system32, j'ai vérifié.
j'ai lancé le scan avec MBAM. quand il sera terminé, je posterai un message.
0
Utilisateur anonyme
6 nov. 2010 à 18:30
au fait, tu peux m'expliquer le problème avec cette dll? elle est associée à quel virus?
0
Utilisateur anonyme
6 nov. 2010 à 18:50
désolé de te poser autant de questions, mais j'aime bien comprendre!
comment tu sais que cette dll est mauvaise?
j'ai fait une recherche sur Google et des sites disaient qu'il n'était pas bon et d'autres qu'il n'y avait aucun problème.

j'ai fait une recherche pour cmirmdrv.exe toujours sur Google. et sur le site prevx, ils disent que c'est un malware. et sur d'autres sites, ils disent que c'est un fichier de Windows XP tout à fait normal.

d'où ma question : comment tu sais sur quelle source te fier? un site en particulier?
ou bien ce sont tes connaissances en informatique qui te permettent de savoir tout ça?!
0
Réponse 8 / 8
Utilisateur anonyme
6 nov. 2010 à 19:29
tout est OK avec MBAM. il n'a rien trouvé.

est-ce que tout est bon?
tu pourras prendre le temps de répondre à mes questions stp.
merci.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
Modifié par jacques.gache le 6/11/2010 à 19:42
si tu veux savoir pourquoi je te donnais pas bonne cette ligne fais une formation de HELPER et tu apprendras !!! sur google tu trouves des choses et ses contraires !! d'ou l'importance de savoir d'ou veint l'info !!!
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
6 nov. 2010 à 21:24
bon si plus de problème tu supprimes les outils utilisé avec delfix , tu fais un nettoyage avec ccleaner et le donnés , et il restera la restauration système qu'il faudra purger , et puis 2 petit truc pour aller bien !!!

1) - DelFix - Option Suppression

Télécharge DelFix (d'Xplode) sur ton bureau.

Lance le puis sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum,

relance DelFix en sélectionnant Désinstallation.



2) fais un nettoyage avec ccleaner et les réglages donnés


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
0
Utilisateur anonyme
6 nov. 2010 à 22:39
voilà le rapport de delfix :
############ DelFix - Nettoyeur d'outils de désinfection ############
#
# Rapport DelFix v6.1 - Créé le 06/11/2010 à 22:36
# Mis à jour le 06/11/10 à 17h00 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Navigateur : Mozilla Firefox 3.6.12 (fr) [Navigateur par défaut]
# Nom d'utilisateur : mon_nom - mon_nom (Administrateur)
# Exécuté depuis : C:\Documents and Settings\mon_nom\Bureau\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\trend micro
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\WINDOWS\System32\tmp.reg
Supprimé : C:\WINDOWS\System32\tmp.txt
Supprimé : C:\Documents and Settings\mon_nom\Bureau\ZHPDiag.exe
Supprimé : C:\Documents and Settings\mon_nom\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\mon_nom\Bureau\ZHPDiag1.txt
Supprimé : C:\Documents and Settings\mon_nom\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

########## EOF - "C:\DelFixSuppr.txt" - [1692 octets] ##########

merci pour ton aide Jacques ^^
bon week-end
0

Discussions similaires

Prix d'un appel locale = gratuit ?
madmax09 -
Pseudo -

5 réponses
Prix d'un appel local
Vesper-and-i -
Manon38 -

3 réponses
Nom de périphérique déjà utilisé
Pwouaro -
arwsh -

6 réponses
Extraire le contenu de plusieurs fichiers
politicus -
Syl_tls1 -

11 réponses
cout d'une communication locale?
mister3d -
mister3d -

2 réponses