Sujet Précédent Sujet Suivant

Message de cyrouille transféré

Fermé
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 14 mai 2007 à 19:39
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 14 mai 2007 à 22:43
Messages venant de ce topic squatté:
< virus win32 >

1er Message de Citrouille

< 165 > cyrouille (dimanche 13 mai 2007 à 21:21:31)
« j'ai le meme probleme et j'ai fait tout ce que lui a dit aide moi pour la suite stp.. »
Message incompréhensible !

SmitFraudFix v2.181 Rapport fait à 21:13:13,14, 13/05/2007
Executé à partir de C:\Documents and Settings\MR FRANCOIS\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS Fix executé en mode normal
Fix executé en mode sans echec Rapport fait à 21:34:39,69, 13/05/2007
Résultats: RAS


3ème Message de Citrouille
< 167 > cyrouille (lundi 14 mai 2007 à 18:32:55)
Message aussi impoli !!

Logfile of HijackThis v1.99.1
Scan saved at 18:27:09, on 14/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\pctspk.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_03\bin\jucheck.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\danger hitjacki\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Network Provisioning DDE - Unknown owner - C:\WINDOWS\system32\lsass.com
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe



Mr FRANÇOIS, fais ceci s'il te plaît: ( dans l'ordre et complètement)
cyrouille, fais ceci s'il te plaît: ( dans l'ordre et complètement)



1°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [windows auto update] msblast.exe

Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]


2°- O23 - Service: Network Provisioning DDE - Unknown owner - C:\WINDOWS\system32\lsass.com
O23 - Service: Network Provisioning DDE - Unknown owner - C:\WINDOWS\system32\lsass.com


*)- Pour desactiver le service, tu dois aller dans le "panneau de configuration", là tu vas dans les "outils d'administration". Une fois dans les "outils d'administration", tu choisis le raccourci "Services". A ce moment-là, tu n'as plus qu'à sélectionner le service correspondant à Network Provisioning DDE ; et dans les "propriétés" il y aura une page pour choisir de le désactiver, de l'activer ou de le mettre en manuel ( parfois de l'arrêter ).


**)- Fais l'analyse de ce fichier lsass.com par VirusTotal, comme ceci:

a)- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

b)- vas là :< http://www.virustotal.com/en/virustotalx.html >

Procédure à suivre:

•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier lsass.com ( que Virustotal va analyser à ta demande )

•- suivre le chemin, c'est-à-dire : "Poste de Travail" > C:\WINDOWS\system32\lsass.com

•- quand tu as trouvé le fichier lsass.com( mis en gras, ici volontairement pour l'exemple ) ,
tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patient Monsieur François )
•- que tu postes sur le forum

Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799



3°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.



4°- Fais ensuite un ScanOnline chez Bitdefender :
http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)


* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
* Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >



5°- Fais un scan en ligne PANDA ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse



6°- Aucun pare-feu actif n'a été trouvé sur votre système
Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >
•- Ensuite lancer l'installation de ce pare-feu.
Pour cela:

-  tu dois impérativement couper la connexion de ton modem (débranche-le),
-Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
-Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-ensuite installer ce pare-feu une fois téléchargé ,
-et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
-si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". )
•- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
Eventuellement mettre à jour Kério.

Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
-Tuto - https://forums.cnetfrance.fr
-Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >



7°- C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
Ce qui veut dire que ta console Java n'est pas à jour !

Pour corriger cela, vas chez Java Sun < https://www.java.com/fr/download/manual.jsp > et télécharge la dernière version.

Après installation et redémarrage, va dans le panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, (et reste aussi à ôter dans "program files" dans Java le vieux dossier qui n'est pas ôter lors de la désinstallation ) ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne alors chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.



Bon courage
Al.
A voir également:

1 réponse

Réponse 1 / 1
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 mai 2007 à 22:43
( Suite des devoirs sur ce topic en fonction de la seule analyse HijacThis actuellement ) :

1°- Pour cette ligne :

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

Désinstalle le sponsor d'msn + en suivant les instructions de ce lien < https://1map.com/fr/astwindscom >
Pour cela:
•- Fais démarrer>>panneau de configuration>>"ajout/suppr. de programmes" et clique une fois sur celui là:
Messenger Plus! Live
-Clique sur le bouton "Modifier/Supprimer"
-Sélectionne la 1ère option : "Désinstaller le sponsor uniquement".
-Clique ensuite sur "Désinstaller"
Comme ça tu peux toujours utiliser ton programme mais sans être pollué de tout un tas de cochonneries.

•- Et ensuite, par le même chemin, supprime <gras>MessengerPlus! 3</gras>

Pour plus d'informations sur la désinstallation du sponsors, rapporte toi à cette page : < http://www.malekal.com/msnplus_adaware.html >



2°- Pour ces lignes:

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

=> je te conseille de désinstaller le kit wanadoo , et de créer votre connexion manuellement et ne pas installer de kit de connexion .
Lecture :
< http://www.faqoe.com/connexionmanel.htm >
< http://www.netfaqs.com/francais/windows/ARD/XP/index.asp >
< https://www.orange.fr/portail?u=http%253A//assistance.wanadoo.fr/reponse167.asp >
< https://www.sosordi.net/questions/100463/c-box-outlook >



3°- Pour cette ligne:

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

•- Voici une information sur "Boonty Games": Leur politique , en utilisant leur site est ici décrite :

« "Il se peut que nous partageons aussi, ainsi des informations payantes avec des tiers qui fournissent ds services payants et partage des données regroupées montrant le type et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations, niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur, internet et intérêts pour les jeux videos, activités et entrainement des jeux édités. De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails qui nous assistent en envoyant nos mails a de nombreux clients en même temps..." »

Si tu es d'accord avec eux, pas de problème; sinon, il faut désinstaller le service .

•- Tu suis le chemin "Poste de Travail" > "C:\" et tu supprimes :

C:\Program Files\Fichiers communs\BOONTY Shared

•- Ensuite Clic [demarrer] ==> "exécuter"==> taper : services.msc
si BOONTY présent dans la liste ==>clic et arrêter

•- Ensuite "Démarrer" > clic droit sur "poste de travail" > clic gauche sur "gérer" > puis colonne de gauche, clic sur "services et applications" > clic sur "services"
===> là, tu recherches tous les services avec Boonty/BOONTY et tu clic droit sur la ligne du service sélectionné > "propriétés"
===> et tu désactives.

•- Ensuite supprimer Boonty Games ou/et BOONTY Shared dans "Panneau de configuration" > "Ajout/Suppr de Programmes"

•- Vérifie ceci avec HJT ==> Clic sur [ouvrir la section outils] > puis [Ajout/Suppr de progr] ==> sélectionne Boonty, BOONTY Shared et/ou Boonty Games > clic sur [Suppr.cette entrée] )

•- Lance JV16 , TUTO < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm > à la section VII-Fonction "chercheur du registre"
Tu lances les recherches sur base des mots "Boonty", "Boonty games" et "BOONTY Shared"

•- Nous, nous avons fait notre devoir.


Al.
Je serai absent pour la suite.
Merci de prendre la relève, le cas échéant.
Amicalement à tous.
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
Facebook « Cette personne ne peut actuellement pas recevoir de message »
Cynamon -
Titia -

5 réponses
enregistrement de message sur répondeur
Alliana -
zazaazaz -

1 réponse
Comment reconnaitre si un SMS m'indiquant un message vocal est une arnaque ?
kikidefer -
brucine -

9 réponses