Reprise du message précédent :
Salut wawaseb, je l'ai zappé...

salut a tous

 a tous et    a vous trois du coup de main a mon fiston  
 
 
je reprends la main apres flitjr : j'ai fait la manip avec l'uninstaller de purityscan,un scan avec adaware et ewido qi n'ont rien trouve  
 
par contre impossible de trouver ce maudit r?ndll32.exe,et le pc continue a vouloir se connecter d'une maniere intempestive  
 
je refais un scan chez panda et je repost apres l'apero ,ou sinon Flitjr le fera si    
 
 
   
 
@+

Re,
 
 
voilà le rapport du scan de Panda :
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/PurityScan      No disinfected                C:\WINDOWS\system32\r?ndll32.exe                                                                                                                                                                                                                                
et celui d'Hjt :
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 22:47:01, on 24/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Louis\Mes documents\Hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://louiskool.tooblog.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF76CD1-7BB8-424F-B5C7-F13EF2A2C667}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
 
çà commence a s'eclaicir  
 
 
   
 
 
@+
 

Euh...question naive : les 3 activeX de msn,c'est normal?
 
   
 
@+

Bonsoir flit, ouvre Killbox et entre:
 
C:\WINDOWS\system32\r?ndll32.exe
 
Coche delete on reboot et clique sur la croix blanche.
 
Tu peux fixer avec Hijackthis sans problème toutes les 016.  
 
Consulte cette page:
http://www.doxdesk.com/parasite/PurityScan.html
 
Dis ce qu'il en est
 

Stonangel d'etre fidele au post
 
pour l'instant je n'ai + acces a la machine(Flitjr   )
 
mais demain je fais la manip;par contre je desactive la restauration ou pas?
 
   
 
@+

Non, garde des points de restauration dans la mesure où aucun scan n'a fait apparaître quelque chose dedans. Voir ici:
http://forum.zebulon.fr/index.php? [...] =71064&hl=

Re,
 
ton lien est edifiant :
 
http://www.doxdesk.com/parasite/PurityScan.html
 
 
je consulte demain celui de Zebulon
 
 
mci encore a toi et bonne nuit
 
@+
 
 
 
ps : çà fait longtemps que tu ne m'as pas envoye un mp  

 a tous,
 
 
bon,pb avec Killbox:quand je rentre le path en mode normal ou sans echec,j'ai le message suivant :
 
"pendingfilerenameoperations registry data has been removed by external process"
 
j'ai essaye avec MoveonBoot qui me dit "incorrect file name"  
 
 
par contre Panda le trouve tjrs :
 
 
Incident                      Status                        Location                                                                                                                                                                                                                                                        
 
Adware:Adware/PurityScan      No disinfected                C:\WINDOWS\system32\r?ndll32.exe                                                                      
 
 
????
 
 
   
 
@+                                                                                                                                                          

Oki...
 
Ton ordinateur n'est pas à jour... pas de SP2... Ce dernier comprend un FireWall qui empêche le re-téléchargement de crasses ! Il faudra peut-être installer un de ces programmes pour localiser le fichier infecté.
 
En attendant, tu vas cliquer sur "démarrer" -> "Exécuter" et taper sans guillemet "regedit" +OK
Là, tu cliques sur "Edition" -> "Rechercher" et tu tapes "exefile". Chque fois qu'il en trouve, tu vérifies dans "shell->open->command" (colonne de droite) que tes valeurs sont bien à "%1"%* ...
 
Ensuite, tu re-démarres en console de récupération (avec le CD d'XP, choisir "réparer une installation" ), tu choisis l'installation concernée et tu vas dans "C:\WINDOWS\system32" à l'aide de "cd system32"+ENTER
Enfin, tu tapes "del r?ndll32.exe". S'il ne le trouve pas, essaye de voir quel pourrait être le fichier via "dir r*.exe"+ENTER !
 
Bonne chance...

 a toi
 
mais pb : quand je lance l'ASR,on me demande une D7 que je n'ai pas,et quand je choisis reparer ou recuperer,on me demande le mot de passe administrateur,le truc est que je ne m'en souviens pas ,et que je ne me souviens meme pas en avoir rentrer 1 a l'install  
 
t'as pas une idee ?
 
 
   
 
@+

T'as essayé "juste ENTER" (aucun mot de passe), admin, Administrateur, administrateur, Admin ?
 
Sinon, ce lien-là peut t'aider : http://www.bellamyjc.net/fr/pwdnt.html (mais cela parait compliqué par rapport à ton problème...)
 
Si tu as toujours ce problème après les vérifications dans la Base Des Registres, installe Sygate Personal FireWall ici :
http://www.zdnet.fr/telecharger/wi [...] 84s,00.htm
 
autorise les processus que tu as appelé TOI-MEME, interdit TOUS les autres... et regarde quel fichier veut se connecter...
 
Bien à toi,

oui j'ai essaye Enter,admin,la date de naissance de Flitjr,la mienne....
 
pour le firewall,j'utilise a l'heure actuelle Zone alarm,et je n'ai autoriser definitivement que le 80,25 et 110
 
ceux qui reclament a se connecter sont :
 
-svchost.exe(a 3 reprises,avec 3 dns ou IP differents;j'ai fait un tracert sur les 3,un seul dns a ete identifie comme celui de wanadoo)
-msn
-messenger
 
   
 
   
 
@+

Oups, j'avais pas vu que tu avais déjà un firewall...
Msn ET Messenger qui se connectent ? Ce n'est pas normal... Tout seuls ?
 
A mon avis, tu peux aussi virer le svchost, mais c'est embêtant si tu n'as pas de BootCD ou le mot de passe admin...
 
A ta place, je virerais les msn/messenger pour n'en réinstaller qu'UN SEUL, clean !!!

en fait des que le pc a charge,un seul des 3 svchost.exe demande la cnx,des que flitjr se connecte,les 2 autres la reclament egalement,ainsi que Msn et Messenger
 
si je refuse l'acces aux svchost,j'ai bien la cnx(c'est comme çà que j'ai fait les maj de nav/ewido/adaware/sppybot et a2squared),mais quand je lance IE,j'ai "impossible de trouver le serveur"....????
 
@+

+1 avec toi pour msn et messenger,et d'ailleurs si çà ne tenait qu'à moi,je virerais bien les 2...  
 
mais bon,çà va declencher un conflit de generations  
 
   
 
@+

Vérifie dans la base des registres les fichiers "htafile" (voir plus haut avec "exefile" )...
 
Tu devrais avoir une ligne qui parle de mshta.exe (C'EST TOUT)

merci a toi
 
je viens de le faire et j'en ai 5,localisess a differents endroits
 
je les supprime?
 
@+

rectif : dans les htafile,je n'ai qu'une ligne avec le mshta.exe
 
par contre quand je fais la recherche par mshta.exe,j'en ai bien 5...
 
@+

Impossible à dire mshta.exe peut être un trojan, mais c'est à la base un fichier de Windows...
 
Rends-toi à cette adresse (http://www.virustotal.com/xhtml/virustotal_en.html) et teste les différents mshta.exe en les envoyant l'un à la suite de l'autre...
 
Il faudra faire la même chose avec tes "svchost" qui ne me disent rien de bon !

a tous et    a toi pour ce lien
 
j'ai mis un certain temps avant de capter la manip,mais demain je la fais et je repost  
 
 
   
 
@+

Bonjour,
 
En temps que victime et non ''informaticien'' je fus soulagé de trouver le mal qui me cassait les pieds depuis un moment. Puis j'ai déchanté quand j'ai compris que c'était la galère de sortir ce truc de mon PC. Mais quand je lis tous les messages sur les forum qui parlent de cette plaie je ne vois aucun message qui incite à boycoter harceler C2média. Une boite qui casse les pieds de milliers d'utilisateurs et personne pour envisager de leur casser les pieds. On sait qu'il s'agit de : Lop.com / C2 Media LTD. Info
 
support@lop.com
advertise@lop.com
webmaster@lop.com
 
Les propriétaires sont:
Alex Shamash, alex@lop.com
Jason Lucas, jason@lop.com
 
Checking server [whois.crsnic.net]
Checking server [whois.opensrs.net]
Results:
Registrant:
Lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
 
Domain name: LOP.COM
 
Administrative Contact:
Live, Media webmaster@lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
+ 44 7817 130 743
Technical Contact:
Live, Media webmaster@lop.com
Unit 12
571 Finchley Road
Hampstead
London, NW3 7BN
UK
+ 44 7817 130 743
 
Ne peut-on rien faire de France ? Si ils se trouvaient en chine ou en russie je ne dis pas mais là à londres.
 
Si il y en a qui savent comment les bloquer et me débarasser simplement de ce truc je suis à l'écoute.
 
A vous lire

oscarc
 
Ils proposent sur leur site un fichier pour désinstaller :
 
http://lop.com/help.html#uninstall