[Trojan] Instant Access EGDACCESS_1059 1058
Fermé
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
-
8 juin 2005 à 08:30
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 16 juin 2005 à 00:14
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 16 juin 2005 à 00:14
A voir également:
- [Trojan] Instant Access EGDACCESS_1059 1058
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Exemple base de données access à télécharger gratuit - Forum Access
- Instant gaming avis - Forum Jeux PC
- Instant gaming paiement en cours ✓ - Forum Jeux vidéo
- Est ce que acheter Minecraft Java sur instant gaming est fiable????????????? ✓ - Forum Jeux vidéo
22 réponses
Bonjour Razmoket34. (Il y a beaucoup de gens du 34 par ici...)
Je lis que vous avez fait beaucoup de travail préalable et je vous en félicite.
Je vous donne d'abord un lien vers la documentation de Hijack :
http://www.zebulon.fr/articles/HijackThis.php
---
Je crois que vous n'avez pas d'anti-virus sur votre ordinateur (vous faites de scan en ligne). Je pense qu'il est important d'en installer un. Personellement, je travailler avec Avast! (gratuit).
Avast! sur http://www.avast.com/eng/down_home.html
Je vous propose de l'installer et de le lancer lors d'une session "mode sans échec" (appuyez sur f8 de façon répétée au démarrage. Si f8 ne marche pas essayez f5 ou f6 selon les versions de windows)
---
Je vous propose aussi de télécharger cleanup qui nettoiera de nombreux fichiers temporaires d'internet y compris à des endroits "tordus" :
CleanUP312 sur http://cleanup.stevengould.org
---
Voilà pour l'instant.
Bon travail
Je lis que vous avez fait beaucoup de travail préalable et je vous en félicite.
Je vous donne d'abord un lien vers la documentation de Hijack :
http://www.zebulon.fr/articles/HijackThis.php
---
Je crois que vous n'avez pas d'anti-virus sur votre ordinateur (vous faites de scan en ligne). Je pense qu'il est important d'en installer un. Personellement, je travailler avec Avast! (gratuit).
Avast! sur http://www.avast.com/eng/down_home.html
Je vous propose de l'installer et de le lancer lors d'une session "mode sans échec" (appuyez sur f8 de façon répétée au démarrage. Si f8 ne marche pas essayez f5 ou f6 selon les versions de windows)
---
Je vous propose aussi de télécharger cleanup qui nettoiera de nombreux fichiers temporaires d'internet y compris à des endroits "tordus" :
CleanUP312 sur http://cleanup.stevengould.org
---
Voilà pour l'instant.
Bon travail
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
8 juin 2005 à 12:32
8 juin 2005 à 12:32
Bonjour
Merci pour votre réponse et pour la doc explicative de HiJackThis, ce n'est pas de trop.
J'ai bien un antivirus : MacAfee / VirusScan : Je vais regarder ses paramètres de lancements parce qu'au vu de la log HiJackThis, il ne doit pas être lancé au démarrage.
Je vais refaire un essai dans cette config.
J'ai récupéré CleanUp 312 : Je vais egalement l'exécuter ce soir.
Ce que je compte faire :
- Activer VirusScan au démarrage
- PC en mode sans echec + désactivation restauration système (j'ai trouvé comment faire)
- Rendre visible fichiers cachés et systèmes + désactiver service "Affichage des messages"
- Lancer Adware
- Lancer Spybot
- Lancer CleanUp
- Lancer HiJackThis
Je vous renvoie la log.
A+
Merci pour votre réponse et pour la doc explicative de HiJackThis, ce n'est pas de trop.
J'ai bien un antivirus : MacAfee / VirusScan : Je vais regarder ses paramètres de lancements parce qu'au vu de la log HiJackThis, il ne doit pas être lancé au démarrage.
Je vais refaire un essai dans cette config.
J'ai récupéré CleanUp 312 : Je vais egalement l'exécuter ce soir.
Ce que je compte faire :
- Activer VirusScan au démarrage
- PC en mode sans echec + désactivation restauration système (j'ai trouvé comment faire)
- Rendre visible fichiers cachés et systèmes + désactiver service "Affichage des messages"
- Lancer Adware
- Lancer Spybot
- Lancer CleanUp
- Lancer HiJackThis
Je vous renvoie la log.
A+
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
8 juin 2005 à 23:28
8 juin 2005 à 23:28
Bonjour
Voici ce que je viens de faire :
- Installation CleanUp 312
- Démarrage PC en mode sans échec (toujours impossible de désactiver le restauration système)
- J’ai rendu visible fichiers cachés et systèmes
- J’ai désactivé le service « Affichage des messages »
- J’ai Lancé Ad-aware : 0 objet trouvé
- J’ai lancé Spybot : 0 objet trouvé
- j’ai lancé CleanUp : Ménage fait
- J’ai exécuté HijackThis dont voici la log ci–après.
Logfile of HijackThis v1.99.1
Scan saved at 21:51:12, on 08/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
J’ai fixé les 3 lignes suivantes :
O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cab
Un peu naïvement, je pensais être débarrassé du problème.
J’ai relancé Internet Explorer : Au bout de quelques minutes j’ai à nouveau eu une popup porno (différente de celle habituelle) qui s’est affichée.
I.E. a planté sans message d’erreur contrairement aux autres fois ???
J’ai refait toute la manip du début.
Je joins la log HijackThis ci-après : Aucune trace des 3 lignes fixées précédemment.
Logfile of HijackThis v1.99.1
Scan saved at 22:51:06, on 08/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
Pourtant j’ai effectué une recherche sur C:/ via l’Explorateur de « instant access » et voici, entre autres, ce qu’il a trouvé :
EGDACCESS_1059.dll sur C:\WINNT\System32
J’espères avoir été assez clair, mais moi je ne comprend plus grand chose :
Est ce vous pouvez diagnostiquer le dernière log HiJackThis ci-dessus et m’indiquer si il y a encore une mauvaise ligne ?
Voyez vous autre chose à faire ?
Faut-il que je réinstalle le système d’exploitation ?
Merci pour vos réponses …
Dernieres news : Je viens de me reprendre la popup porno habituelle, j'aile répertoire Instabnt Acess sous C:/ Prrogram files et a tot les coups les 3 lignes O16 si je ais un nouveau report Hijack.
Bref rien n'a changé.
Dans l'attente d'une aide.
A+
Voici ce que je viens de faire :
- Installation CleanUp 312
- Démarrage PC en mode sans échec (toujours impossible de désactiver le restauration système)
- J’ai rendu visible fichiers cachés et systèmes
- J’ai désactivé le service « Affichage des messages »
- J’ai Lancé Ad-aware : 0 objet trouvé
- J’ai lancé Spybot : 0 objet trouvé
- j’ai lancé CleanUp : Ménage fait
- J’ai exécuté HijackThis dont voici la log ci–après.
Logfile of HijackThis v1.99.1
Scan saved at 21:51:12, on 08/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
J’ai fixé les 3 lignes suivantes :
O16 - DPF: {1CD49DC9-FD88-41FA-B892-47E037267D45} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1059.cab
O16 - DPF: {31DDC1FD-CEA3-4837-A6DC-87E67015ADC9} - http://akamai.downloadv3.com/binaries/IA/svcsysnet32_FR.cab
O16 - DPF: {BFC9677B-8006-4336-9D49-2C797AEFCB9E} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1058.cab
Un peu naïvement, je pensais être débarrassé du problème.
J’ai relancé Internet Explorer : Au bout de quelques minutes j’ai à nouveau eu une popup porno (différente de celle habituelle) qui s’est affichée.
I.E. a planté sans message d’erreur contrairement aux autres fois ???
J’ai refait toute la manip du début.
Je joins la log HijackThis ci-après : Aucune trace des 3 lignes fixées précédemment.
Logfile of HijackThis v1.99.1
Scan saved at 22:51:06, on 08/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
Pourtant j’ai effectué une recherche sur C:/ via l’Explorateur de « instant access » et voici, entre autres, ce qu’il a trouvé :
EGDACCESS_1059.dll sur C:\WINNT\System32
J’espères avoir été assez clair, mais moi je ne comprend plus grand chose :
Est ce vous pouvez diagnostiquer le dernière log HiJackThis ci-dessus et m’indiquer si il y a encore une mauvaise ligne ?
Voyez vous autre chose à faire ?
Faut-il que je réinstalle le système d’exploitation ?
Merci pour vos réponses …
Dernieres news : Je viens de me reprendre la popup porno habituelle, j'aile répertoire Instabnt Acess sous C:/ Prrogram files et a tot les coups les 3 lignes O16 si je ais un nouveau report Hijack.
Bref rien n'a changé.
Dans l'attente d'une aide.
A+
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
9 juin 2005 à 08:44
9 juin 2005 à 08:44
Bonjour,
Comme je continue de chercher en parallèle, j'alimente mes 2 précédents messages :
Par rapport à la liste HiJackThis présenté ci-dessous, ce que je compte faire après avoir poussé l'interprétaion de la log :
Supprimer les lignes
- O3 : Le CLSID {8E718888-423F-11D2-876E-00A0C9082467} n'est pas connu.
- O4 [SO5 Integrator Pass Two] : Je n'ai plus Star Office
- O4 - HKCU\..\Run: [internat.exe] internat.exe : complètement lié au Trojan
PS : J'ai déjà fixé 3 lignes O16 (voir messages précédents) qui à mon sens avaient un rapport avec le trojan.
SVP :
Pouvez vous me donner votre avis sur ce que je compte faire ?
Et si possible, une marche à suivre, style effacement de données particulière dans le registre, ...), si il en existe une bien sûr ...
En espérant embrouiller personne sur mes manips ... merci d'avance
A+
Comme je continue de chercher en parallèle, j'alimente mes 2 précédents messages :
Par rapport à la liste HiJackThis présenté ci-dessous, ce que je compte faire après avoir poussé l'interprétaion de la log :
Supprimer les lignes
- O3 : Le CLSID {8E718888-423F-11D2-876E-00A0C9082467} n'est pas connu.
- O4 [SO5 Integrator Pass Two] : Je n'ai plus Star Office
- O4 - HKCU\..\Run: [internat.exe] internat.exe : complètement lié au Trojan
PS : J'ai déjà fixé 3 lignes O16 (voir messages précédents) qui à mon sens avaient un rapport avec le trojan.
SVP :
Pouvez vous me donner votre avis sur ce que je compte faire ?
Et si possible, une marche à suivre, style effacement de données particulière dans le registre, ...), si il en existe une bien sûr ...
En espérant embrouiller personne sur mes manips ... merci d'avance
A+
Bonjour.
Je viens de me reconnecter et de lire vos messages.
Je vois que vous avez bien avancé.
---
Je suis d'accord avec vos conclusions.
Toutefois, qu'est-ce qui vous a amené à conclure que internat.exe est en lien avec votre problème (ce qui est sans doute vrai) ?
Je vous précise que supprimer la ligne avec hijack ne suffit pas, il vous faudra aussi trouver cet exécutable sur votre ordinateur (utiliser démarrer -> rechercher...) et le supprimer "à la main".
---
En outre, vous devriez vérifier si votre ordinateur est sécurisé ou non. Pour ce faire, je vous propose d'aller sur le site :
http:/security.symantec.com/fr
Attention : tapez "symantec" et non "sysmantec". Dans le deuxième cas, vous seriez
renvoyé vers un site plein de virus et co.
Pour aller même un peu plus loin, il est possible de la vulnérabilité du navigateur sur :
http://bcheck.scanit.be/bcheck/
---
Dans l'attente de votre réponse.
Je viens de me reconnecter et de lire vos messages.
Je vois que vous avez bien avancé.
---
Je suis d'accord avec vos conclusions.
Toutefois, qu'est-ce qui vous a amené à conclure que internat.exe est en lien avec votre problème (ce qui est sans doute vrai) ?
Je vous précise que supprimer la ligne avec hijack ne suffit pas, il vous faudra aussi trouver cet exécutable sur votre ordinateur (utiliser démarrer -> rechercher...) et le supprimer "à la main".
---
En outre, vous devriez vérifier si votre ordinateur est sécurisé ou non. Pour ce faire, je vous propose d'aller sur le site :
http:/security.symantec.com/fr
Attention : tapez "symantec" et non "sysmantec". Dans le deuxième cas, vous seriez
renvoyé vers un site plein de virus et co.
Pour aller même un peu plus loin, il est possible de la vulnérabilité du navigateur sur :
http://bcheck.scanit.be/bcheck/
---
Dans l'attente de votre réponse.
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
>
M.Lavaux
9 juin 2005 à 11:31
9 juin 2005 à 11:31
Bonjour
Ca fait plaisir d’avoir de vos nouvelles.
Internat.exe est à supprimer pour la raison suivante :
En épluchant le tutorial d’utilisation d’HiJackthis, j’ai été interrogé chaque fois que possible les sites indiqués pour vérifier les éxécutables, CLSID, etc.. du report.
Pour Internat.exe, j’ai consulté le site « Startup List de Pacman » et voilà le résultat :
Internat.exe :
- Added by the POINTEX TROJAN!
- Added by the NETSNAKE TROJAN!
D’ou ma conclusion ! !
Je veux bien vérifier si mon PC est sécurisé ou non en allant sur le site de Symantec mais il faut que d’abord que j’arrive à me débarrasser de ce Trojan avant car je n’arrête pas de me faire sortir de mon navigateur.
Je vous répond de mon bureau et non de mon PC perso.
J’ai 2 questions :
Question 1 :
Vous me dites de supprimer manuellement les exe que je supprime : OK, mais dois je faire la même chose pour les dll, les cab ou autes composants.
Question 2 :
Après avoir démarré
- en mode sans échec,
- paramétrer la visualisation des fichiers cachés et systèmes,
- lancer Adware, Spybot et CleanUp,
- exécuter un HiJackThis et fixer les lignes (précisés messages précédents),
- Suypprimer manuellement les EXE « fixés »
Dois je faire d’autre chose au niveau du Registre ou autre endroit.
Merci pour vos réponses et pour votre aide
A bientôt.
Ca fait plaisir d’avoir de vos nouvelles.
Internat.exe est à supprimer pour la raison suivante :
En épluchant le tutorial d’utilisation d’HiJackthis, j’ai été interrogé chaque fois que possible les sites indiqués pour vérifier les éxécutables, CLSID, etc.. du report.
Pour Internat.exe, j’ai consulté le site « Startup List de Pacman » et voilà le résultat :
Internat.exe :
- Added by the POINTEX TROJAN!
- Added by the NETSNAKE TROJAN!
D’ou ma conclusion ! !
Je veux bien vérifier si mon PC est sécurisé ou non en allant sur le site de Symantec mais il faut que d’abord que j’arrive à me débarrasser de ce Trojan avant car je n’arrête pas de me faire sortir de mon navigateur.
Je vous répond de mon bureau et non de mon PC perso.
J’ai 2 questions :
Question 1 :
Vous me dites de supprimer manuellement les exe que je supprime : OK, mais dois je faire la même chose pour les dll, les cab ou autes composants.
Question 2 :
Après avoir démarré
- en mode sans échec,
- paramétrer la visualisation des fichiers cachés et systèmes,
- lancer Adware, Spybot et CleanUp,
- exécuter un HiJackThis et fixer les lignes (précisés messages précédents),
- Suypprimer manuellement les EXE « fixés »
Dois je faire d’autre chose au niveau du Registre ou autre endroit.
Merci pour vos réponses et pour votre aide
A bientôt.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je dois encore vous féliciter pour votre méthode d'analyse.
Je vais répondre à vos questions.
---
Pour la 1, si ce sont des .dll ou .exe ajoutés par le virus, il faut les détruire. Si ce sont de programmes infectés, il vaut mieux les réparer (c'est l'anti-virus qui le fait) lorsque c'est possible.
Parfois, certains virus rajoutent des programmes ou librairies (dll), ceux-ci ne sont pas vérolés (a proprement parlé) donc ne sont pas supprimés par l'anti-virus.
Certains sont connus et les anti-troyans les suppriment, mais parfois les noms sont aléatoires (par exemple), et il faut alors les supprimer "à la main".
Parfois encore, ce sont des fichiers système qui sont rajoutés, il faut alors les supprimes à la main et en mode sans échec voire en mode dos.
---
Pour la 2, cela dépend. Si le ménage suffit, alors il n'est pas besoin de faire autre chose. Sinon, il faut envisager encore d'autres soins.
Si je vous proposait de sécuriser l'ordinateur s'était pour empêcher le virus d'agir. En effet, si c'est un virus qui fait appel a des exécutables sur internet, un firewall leur interdira d'intervenir donc vous pourrez faire le ménage sans être embêté ou empêché par le virus.
---
Vous pouvez essayer les utilitaires suivants :
Stinger sur http://vil.nai.com/vil/stinger/
(anti-troyan - serait peut être utile dans votre cas)
spywareblaster sur http://www.javacoolsoftware.com/sbdownload.html
(anti-spyware - ce n'est pas un outil de soin mais de protection)
Windows Worms Doors Cleaner sur
http://www.firewallleaktester.com/tools/wwdc.exe
(ferme certains ports "sensibles")
SafeXP sur http://theorica.net
(ouvre toutes les options de protection internet en une seule fenêtre)
AboutBuster sur http://www.malwarebytes.biz/index.php?page=downloads
(nettoie les .dll créés par le virus about:buster - je ne pense pas que ce soit votre problème mais c'est peut être un dérivé et ça peut faire du ménage "salvateur" - c'est arrivé à un de mes collègues)
CWShredder sur http://www.intermute.com/products/cwshredder.html
(spécifique à coolwebsearch et ces dérivés - idem que pour aboutbuster par rapport à votre problème)
---
A vous de voir. Personellement, je vous conseillerai fortement les 4 premiers. Mais cela ne vous coutera rien d'essayer les six.
Bon travail.
Je vais répondre à vos questions.
---
Pour la 1, si ce sont des .dll ou .exe ajoutés par le virus, il faut les détruire. Si ce sont de programmes infectés, il vaut mieux les réparer (c'est l'anti-virus qui le fait) lorsque c'est possible.
Parfois, certains virus rajoutent des programmes ou librairies (dll), ceux-ci ne sont pas vérolés (a proprement parlé) donc ne sont pas supprimés par l'anti-virus.
Certains sont connus et les anti-troyans les suppriment, mais parfois les noms sont aléatoires (par exemple), et il faut alors les supprimer "à la main".
Parfois encore, ce sont des fichiers système qui sont rajoutés, il faut alors les supprimes à la main et en mode sans échec voire en mode dos.
---
Pour la 2, cela dépend. Si le ménage suffit, alors il n'est pas besoin de faire autre chose. Sinon, il faut envisager encore d'autres soins.
Si je vous proposait de sécuriser l'ordinateur s'était pour empêcher le virus d'agir. En effet, si c'est un virus qui fait appel a des exécutables sur internet, un firewall leur interdira d'intervenir donc vous pourrez faire le ménage sans être embêté ou empêché par le virus.
---
Vous pouvez essayer les utilitaires suivants :
Stinger sur http://vil.nai.com/vil/stinger/
(anti-troyan - serait peut être utile dans votre cas)
spywareblaster sur http://www.javacoolsoftware.com/sbdownload.html
(anti-spyware - ce n'est pas un outil de soin mais de protection)
Windows Worms Doors Cleaner sur
http://www.firewallleaktester.com/tools/wwdc.exe
(ferme certains ports "sensibles")
SafeXP sur http://theorica.net
(ouvre toutes les options de protection internet en une seule fenêtre)
AboutBuster sur http://www.malwarebytes.biz/index.php?page=downloads
(nettoie les .dll créés par le virus about:buster - je ne pense pas que ce soit votre problème mais c'est peut être un dérivé et ça peut faire du ménage "salvateur" - c'est arrivé à un de mes collègues)
CWShredder sur http://www.intermute.com/products/cwshredder.html
(spécifique à coolwebsearch et ces dérivés - idem que pour aboutbuster par rapport à votre problème)
---
A vous de voir. Personellement, je vous conseillerai fortement les 4 premiers. Mais cela ne vous coutera rien d'essayer les six.
Bon travail.
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
10 juin 2005 à 08:17
10 juin 2005 à 08:17
Bonjour
Merci pour vos encouragements.
Voici ce que j’ai fait hier soir :
- Démarré en mode sans échec,
- J’ai rendu visible fichiers cachés et systèmes + désactivé le service « Affichage des messages »
- Lancer Adware, Spybot et CleanUp,
- Exécuter un HiJackThis dont voici la log :
Logfile of HijackThis v1.99.1
Scan saved at 21:21:13, on 09/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1059.dll,InstantAccess
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\frigalie\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
J’ai fixé les lignes suivantes :
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1059.dll,InstantAccess
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\frigalie\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
Ensuite j’ai effacé manuellement :
- SOINTGR.exe , internat.exe , rundll32.exe
- EGDACCESS_1059.dll
Puis j’ai été dans le registre et j’ai effacé tous les objets correspondants aux recherches suivantes : Instant access, internat, EGDACCESS, msiexec.
J’ai refait un essai : La popup porno est revenue !!!! et le troyan avec mais je n’ai pas été déconnecté de suite.
J’ai fait une analyse de l’état de mon poste en allant sur http:/security.symantec.com/fr : J’avais des ports non sécurisés.
J’ai donc dans la foulée télécharger et exécuté :
- Stinger : Rien trouvé après exécution
- SpywareBlaster : Tourne désormais en tâche de fond
- Windows Worms Doors : J’ai fermé tous les ports sensibles
- AboutBuster : Ne fonctionne pas ??
Je refais le ménage ce soir et je vais refaire un essai dans cette configuration.
J’espères que ca ne va pas trop ralentir mon poste (Proc. 900 MHz / 124Mo).
Voilà ma config “sécurité” :
- Antivirus : Virusscan / MacAfee V4.5.1
- Outils de nettoyage : Adware / Spybot / CleanUp / Stinger
- FireWall : Windows Worms Doors / SpywareBlaster
Que pensez vous de cette config ?
Avez vous d’autres tuyaux ou infos ?
Merci
A bientôt
Merci pour vos encouragements.
Voici ce que j’ai fait hier soir :
- Démarré en mode sans échec,
- J’ai rendu visible fichiers cachés et systèmes + désactivé le service « Affichage des messages »
- Lancer Adware, Spybot et CleanUp,
- Exécuter un HiJackThis dont voici la log :
Logfile of HijackThis v1.99.1
Scan saved at 21:21:13, on 09/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [WheelMouse] 4dmain.exe
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [whtkrlfx] c:\winnt\system32\whtkrlfx.exe -start
O4 - HKLM\..\Run: [SvchostStartup] C:\WINNT\WMCRRS.EXE
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1059.dll,InstantAccess
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\frigalie\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
J’ai fixé les lignes suivantes :
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1059.dll,InstantAccess
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\DOCUME~1\frigalie\LOCALS~1\Temp\IXP000.TMP\MsiExec.exe (file missing)
Ensuite j’ai effacé manuellement :
- SOINTGR.exe , internat.exe , rundll32.exe
- EGDACCESS_1059.dll
Puis j’ai été dans le registre et j’ai effacé tous les objets correspondants aux recherches suivantes : Instant access, internat, EGDACCESS, msiexec.
J’ai refait un essai : La popup porno est revenue !!!! et le troyan avec mais je n’ai pas été déconnecté de suite.
J’ai fait une analyse de l’état de mon poste en allant sur http:/security.symantec.com/fr : J’avais des ports non sécurisés.
J’ai donc dans la foulée télécharger et exécuté :
- Stinger : Rien trouvé après exécution
- SpywareBlaster : Tourne désormais en tâche de fond
- Windows Worms Doors : J’ai fermé tous les ports sensibles
- AboutBuster : Ne fonctionne pas ??
Je refais le ménage ce soir et je vais refaire un essai dans cette configuration.
J’espères que ca ne va pas trop ralentir mon poste (Proc. 900 MHz / 124Mo).
Voilà ma config “sécurité” :
- Antivirus : Virusscan / MacAfee V4.5.1
- Outils de nettoyage : Adware / Spybot / CleanUp / Stinger
- FireWall : Windows Worms Doors / SpywareBlaster
Que pensez vous de cette config ?
Avez vous d’autres tuyaux ou infos ?
Merci
A bientôt
jean38
Messages postés
2534
Date d'inscription
samedi 16 avril 2005
Statut
Contributeur
Dernière intervention
17 juillet 2017
47
10 juin 2005 à 08:41
10 juin 2005 à 08:41
salut,
je n'aurais pas supprimé internat mais bon...
par contre pourrais tu tester le fichier suivant
c:\winnt\system32\whtkrlfx.exe -start
en te rendant sur
http://virusscan.jotti.org
a+
jean
je n'aurais pas supprimé internat mais bon...
par contre pourrais tu tester le fichier suivant
c:\winnt\system32\whtkrlfx.exe -start
en te rendant sur
http://virusscan.jotti.org
a+
jean
Pour jean : par rapport à internat, cf un peu plus haut - razmoket à vérifié avant de le supprimer.
---
Pour razmoket : Vous n'avez pas de firewall a proprement parler. Spywareblaster est un anti-spyware et WWD est un utilitaire qui ferme certains ports.
Vous pouvez télécharger le firewall suivant :
ZoneAlarm sur http://fr.zonelabs.com/download/znalm.html
Prenez en la version gratuit (pas la version pro).
Au début vous serez amené à faire plusieurs configurations pour autoriser certains logiciels à aller sur internet (beaucoup de logiciels en général donc c'est un peu perturbant lors des premières utilisations). Ensuite cela va se stabiliser et vous ne verez même plus qu'il tourne en tâche de fond.
---
Pour me sortir des virus particulièrement pénibles, j'utilise le bloqueur d'évènements de l'antivirus. Je ne sais pas si virusscan en a un (mais je pense que oui). C'est généralemnt dans les options de la protection résidente.
Je bloque en particulier l'ouverture et l'écriture. Ainsi, lors du déboggage, c'est un peu plus long que d'habitude parce qu'il faut dire à chaque action si on est d'accord ou pas. Mais cela permet aussi de voir ce qui se lance sans qu'on le demande.
En particulier, vous devriez pouvoir identifier quel exécutable réinstalle internat.exe par exemple. Par suite, vous supprimerez ce dernier (sans doute faudra-t-il le faire en mode sans échec voire en mode dos).
---
P.S. : Si vous ne vous en sortez pas avec virusscan (pour le bloqueur d'évènement), je vous donnerai un lien pour l'anti-virus avast!. Vous désactiverez provisoirement virusscan et installerez avast! pour débogger, puis réinstallerez virusscan (à moins que vous ne préfériez avast!...)
---
Pour razmoket : Vous n'avez pas de firewall a proprement parler. Spywareblaster est un anti-spyware et WWD est un utilitaire qui ferme certains ports.
Vous pouvez télécharger le firewall suivant :
ZoneAlarm sur http://fr.zonelabs.com/download/znalm.html
Prenez en la version gratuit (pas la version pro).
Au début vous serez amené à faire plusieurs configurations pour autoriser certains logiciels à aller sur internet (beaucoup de logiciels en général donc c'est un peu perturbant lors des premières utilisations). Ensuite cela va se stabiliser et vous ne verez même plus qu'il tourne en tâche de fond.
---
Pour me sortir des virus particulièrement pénibles, j'utilise le bloqueur d'évènements de l'antivirus. Je ne sais pas si virusscan en a un (mais je pense que oui). C'est généralemnt dans les options de la protection résidente.
Je bloque en particulier l'ouverture et l'écriture. Ainsi, lors du déboggage, c'est un peu plus long que d'habitude parce qu'il faut dire à chaque action si on est d'accord ou pas. Mais cela permet aussi de voir ce qui se lance sans qu'on le demande.
En particulier, vous devriez pouvoir identifier quel exécutable réinstalle internat.exe par exemple. Par suite, vous supprimerez ce dernier (sans doute faudra-t-il le faire en mode sans échec voire en mode dos).
---
P.S. : Si vous ne vous en sortez pas avec virusscan (pour le bloqueur d'évènement), je vous donnerai un lien pour l'anti-virus avast!. Vous désactiverez provisoirement virusscan et installerez avast! pour débogger, puis réinstallerez virusscan (à moins que vous ne préfériez avast!...)
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
12 juin 2005 à 17:15
12 juin 2005 à 17:15
Bonjour
Les news :
J'ai récupéréAVAST que je pense conserver.
J'ai récupéré ZONEALARM que je pense aussi conserver.
Ma panoplie sécurité est maintenant la suivante :
- Antivirus : AVAST
- Outils de nettoyage : Adware / Spybot / CleanUp / Stinger
- Outils de protection : Windows Worms Doors / SpywareBlaster
- FireWall : ZoneAlarme
Configuration de ma machine : Windows2000 SP4 .
Internet explorer : 5.5
Outlouk express : 5.5
Bilan des courses:
Outlook H.S.
Les popup "porno" arrivent toujours et Instant Access et sa DLL EGDACCESS_1059.dll s'installent dans la foulée.
ZoneAlarme stoppent un nombre incroyable d'accès (plus de 400 en 2h de connexion pour une connexion à 44 Kb/s).
Soit ZoneAlarme ne bloque pas Instant Access, soit il reste un élément que je n'ai pas trouvé.
Je compte faire une ré-installation complète de ma machine.
Je suppose et j'espères que ça devrait résoudre le problème.
En tout cas je vous remercie beaucoup pour vos conseils et les outils que vous m'avez indiqué.
Dernière question : Connaissez vous un bon "outil anti popup" pour compléter ma panoplie ?
A bientôt
Les news :
J'ai récupéréAVAST que je pense conserver.
J'ai récupéré ZONEALARM que je pense aussi conserver.
Ma panoplie sécurité est maintenant la suivante :
- Antivirus : AVAST
- Outils de nettoyage : Adware / Spybot / CleanUp / Stinger
- Outils de protection : Windows Worms Doors / SpywareBlaster
- FireWall : ZoneAlarme
Configuration de ma machine : Windows2000 SP4 .
Internet explorer : 5.5
Outlouk express : 5.5
Bilan des courses:
Outlook H.S.
Les popup "porno" arrivent toujours et Instant Access et sa DLL EGDACCESS_1059.dll s'installent dans la foulée.
ZoneAlarme stoppent un nombre incroyable d'accès (plus de 400 en 2h de connexion pour une connexion à 44 Kb/s).
Soit ZoneAlarme ne bloque pas Instant Access, soit il reste un élément que je n'ai pas trouvé.
Je compte faire une ré-installation complète de ma machine.
Je suppose et j'espères que ça devrait résoudre le problème.
En tout cas je vous remercie beaucoup pour vos conseils et les outils que vous m'avez indiqué.
Dernière question : Connaissez vous un bon "outil anti popup" pour compléter ma panoplie ?
A bientôt
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
12 juin 2005 à 17:21
12 juin 2005 à 17:21
salut
pour instant acces
en mode sans échec tu clik sur demarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,InstantAccess et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également .
- Ensuite vous supprimez tous les raccourcis vers "instant access"
- Vous effacer le contenu de "Tempory Internet Files"
- Videz la "Corbeille"
pour instant acces
en mode sans échec tu clik sur demarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,InstantAccess et vous supprimez !
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : UninstallString
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
Valeur : DisplayName
HKEY_LOCAL_MACHINE
Objet : software\microsoft\windows\currentversion\uninstall\instant access
- Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également .
- Ensuite vous supprimez tous les raccourcis vers "instant access"
- Vous effacer le contenu de "Tempory Internet Files"
- Videz la "Corbeille"
Faites la manipulation de Balltrap.
---
Par rapport au bloqueur d'évènement avec avast!, faites un clic (gauche) sur l'icône-écho (à côté de l'horloge). Cela affiche l'état de la protection résidente.
Cliquez sur "bouclier standard" puis le bouton "personnaliser"
Cliquez sur l'onglet "bloqueur".
Sélectionnez le blocage de "ouverture", de "renommer" et de "supprimer" (a priori c'est surtout l'ouverture qui va servir).
Vous verez tout ce que windows lance sans vous le demander et vous devriez aussi pouvoir identifier des actions virales de création de fichiers (s'il y a lieu).
Bonne fin de travail et j'espère que la manipulation de Balltrap va fonctionner.
---
Par rapport au bloqueur d'évènement avec avast!, faites un clic (gauche) sur l'icône-écho (à côté de l'horloge). Cela affiche l'état de la protection résidente.
Cliquez sur "bouclier standard" puis le bouton "personnaliser"
Cliquez sur l'onglet "bloqueur".
Sélectionnez le blocage de "ouverture", de "renommer" et de "supprimer" (a priori c'est surtout l'ouverture qui va servir).
Vous verez tout ce que windows lance sans vous le demander et vous devriez aussi pouvoir identifier des actions virales de création de fichiers (s'il y a lieu).
Bonne fin de travail et j'espère que la manipulation de Balltrap va fonctionner.
Razmoket34
Messages postés
8
Date d'inscription
mercredi 8 juin 2005
Statut
Membre
Dernière intervention
14 juin 2005
14 juin 2005 à 09:56
14 juin 2005 à 09:56
Bonjour,
J'avais déjà effecté les manips proposés par Balltrap.
Ca n'avait malheureiusement pas solutionné mon problème.
Donc j'ai réinstallé mon poste hier soir en Windows XP en y ajoutant tout la panoplie d'outil de sécurité que vous m'avez indiqué : Comme quoi il y a aussi du positif.
J'en ai profité pour installer Firefox et ThunderBird.
J'ai testé ma configuration internet et tout est OK.
Heureusement sinon c'était poubelle.
En tout cas, je vous remercie beaucoup pour votre aide et vos tuyaux.
A+
J'avais déjà effecté les manips proposés par Balltrap.
Ca n'avait malheureiusement pas solutionné mon problème.
Donc j'ai réinstallé mon poste hier soir en Windows XP en y ajoutant tout la panoplie d'outil de sécurité que vous m'avez indiqué : Comme quoi il y a aussi du positif.
J'en ai profité pour installer Firefox et ThunderBird.
J'ai testé ma configuration internet et tout est OK.
Heureusement sinon c'était poubelle.
En tout cas, je vous remercie beaucoup pour votre aide et vos tuyaux.
A+
Vous voilà à la fin de votre problème.
Parfois (hélas), il faut effectivement ré-installer.
Pour la route, je vous donne un dernier lien :
http://www.macecraft.com/regsupreme/
Vous pourrez y télécharger une version d'essai de regsupreme (ne prenez pas la version payante !! - il suffit de cliquer sur le nom du logiciel et non pas sur "buy now"). C'est un programme qui fera du ménage dans la base de registre (très utile surtout après une ré-installation).
Bonne idée de partir sur gozilla. Mais attention, avec lui vous ne pouvez pas faire certains scan en ligne, ni certaines MAJ non plus.
Par contre, il est beaucoup plus sécurisé.
Il vous faut donc garder IE et Mozilla.
Bonne continuation et au plaisir de travailler de nouveau avec vous... mais pour vous aider à dépanner quelqu'un (ou le contraire)la prochaine fois j'espère !!
Parfois (hélas), il faut effectivement ré-installer.
Pour la route, je vous donne un dernier lien :
http://www.macecraft.com/regsupreme/
Vous pourrez y télécharger une version d'essai de regsupreme (ne prenez pas la version payante !! - il suffit de cliquer sur le nom du logiciel et non pas sur "buy now"). C'est un programme qui fera du ménage dans la base de registre (très utile surtout après une ré-installation).
Bonne idée de partir sur gozilla. Mais attention, avec lui vous ne pouvez pas faire certains scan en ligne, ni certaines MAJ non plus.
Par contre, il est beaucoup plus sécurisé.
Il vous faut donc garder IE et Mozilla.
Bonne continuation et au plaisir de travailler de nouveau avec vous... mais pour vous aider à dépanner quelqu'un (ou le contraire)la prochaine fois j'espère !!
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
14 juin 2005 à 17:10
14 juin 2005 à 17:10
salut
je trouve dommage de formater pour si peux
manque de patience lol
je trouve dommage de formater pour si peux
manque de patience lol
jmp59
Messages postés
29296
Date d'inscription
mercredi 9 juin 2004
Statut
Contributeur
Dernière intervention
25 novembre 2015
5 727
14 juin 2005 à 19:39
14 juin 2005 à 19:39
Bonjour,
J'arrive peut-être comme les carabiniers, mais pour Instant Access (et ss doute d'autres dialers), il suffit d'aller sur:
http://network.nocreditcard.net/cleaner/DialpassUninstall.exe
et de télécharger, puis d'éxécuter "DialpassUninstall.exe"
Voir sur ce forum la discussion: "Instant Access - Qu'est-ce que c'est ?"
J'avais Instant Access installé, mais à vrai dire il ne me causait aucun ennui. Je l'ai désintallé simplement pr faire propre.
Par contre le fichier EGDACCESS... m'embête à chaque démarrage en me mettant un message disant qu'il ne trouve pas je ne sais quoi, ce qui m'oblige à cliquer sur ce message pr le faire disparaître.
J'arrive peut-être comme les carabiniers, mais pour Instant Access (et ss doute d'autres dialers), il suffit d'aller sur:
http://network.nocreditcard.net/cleaner/DialpassUninstall.exe
et de télécharger, puis d'éxécuter "DialpassUninstall.exe"
Voir sur ce forum la discussion: "Instant Access - Qu'est-ce que c'est ?"
J'avais Instant Access installé, mais à vrai dire il ne me causait aucun ennui. Je l'ai désintallé simplement pr faire propre.
Par contre le fichier EGDACCESS... m'embête à chaque démarrage en me mettant un message disant qu'il ne trouve pas je ne sais quoi, ce qui m'oblige à cliquer sur ce message pr le faire disparaître.
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
14 juin 2005 à 19:59
14 juin 2005 à 19:59
salut
tu fait dmarrer/executer tu tape msconfig clik sur onglet demarrage
tu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectif
tu coche ne plus afficher ce message et ok
voila
tu fait dmarrer/executer tu tape msconfig clik sur onglet demarrage
tu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectif
tu coche ne plus afficher ce message et ok
voila
jmp59
Messages postés
29296
Date d'inscription
mercredi 9 juin 2004
Statut
Contributeur
Dernière intervention
25 novembre 2015
5 727
15 juin 2005 à 18:25
15 juin 2005 à 18:25
Salut, balltrap
Merci pr le tuyau, ms entretemps j'avais trouvé le moyen de supprimer cet ennui avec Spybot. Et quand j'ai vérifié en suivant tes explications, j'ai constaté que la ligne
Instat Access rundll32.exeEGDACCESS_1057.dll.Instant access était effectivementdécochée.
Mais quand j'exécute Spyware Doctor, il me reste 2 infections:
Infection Name ---------------------------- Location ------------------------- Risk
Instant Access C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf High
Instant Access C:\WINDOWS\Downloaded Program Files\netslv32.inf --- High
Ces 2 infections ne sont par ailleurs pas détectées par Spybot.
Quand je recherche ces fichiers, ils n'apparaisseent pas,que ce soit par "Rechercher" ou en suivant le chemin. Avec DOS, idem même en utilisant DIR + l'attribut h comme hiden (= caché).
En cherchant sur Ccm, j'ai trouvé ceci:
rundll32 - rundll32.exe
Le processus rundll32.exe (rundll32 signifiant Run a DLL as a 32-bit application) est un processus générique de Windows NT/2000/XP servant à charger les librairies dynamiques (DLLs) en mémoire afin de les rendre utilisables par d'autres programmes.
Le processus rundll32 n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.
Il s'agit d'un processus système critique ne pouvant pas être arrêté.
Or, je suis en Windows 98. Et je ne devrais pas avoir de fichier rundll32. J'en ai pourtant 2:
C:\Windows\rundll32.exe et
C:\Windows\Applog\rundll32.lgc
et dans l'utilitaire msconfig démarrage j'ai une ligne
LoadPowerProfil Rundll32.exe powrprofdll.LoadCurrentPwrScheme.
J'ai bien envie de virer les 2 fichiers rundll ds Windows, en les sauvegardant sur une disquette pr le cas où ...
As-tu un avis sur la question ?
Merci pr le tuyau, ms entretemps j'avais trouvé le moyen de supprimer cet ennui avec Spybot. Et quand j'ai vérifié en suivant tes explications, j'ai constaté que la ligne
Instat Access rundll32.exeEGDACCESS_1057.dll.Instant access était effectivementdécochée.
Mais quand j'exécute Spyware Doctor, il me reste 2 infections:
Infection Name ---------------------------- Location ------------------------- Risk
Instant Access C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf High
Instant Access C:\WINDOWS\Downloaded Program Files\netslv32.inf --- High
Ces 2 infections ne sont par ailleurs pas détectées par Spybot.
Quand je recherche ces fichiers, ils n'apparaisseent pas,que ce soit par "Rechercher" ou en suivant le chemin. Avec DOS, idem même en utilisant DIR + l'attribut h comme hiden (= caché).
En cherchant sur Ccm, j'ai trouvé ceci:
rundll32 - rundll32.exe
Le processus rundll32.exe (rundll32 signifiant Run a DLL as a 32-bit application) est un processus générique de Windows NT/2000/XP servant à charger les librairies dynamiques (DLLs) en mémoire afin de les rendre utilisables par d'autres programmes.
Le processus rundll32 n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.
Il s'agit d'un processus système critique ne pouvant pas être arrêté.
Or, je suis en Windows 98. Et je ne devrais pas avoir de fichier rundll32. J'en ai pourtant 2:
C:\Windows\rundll32.exe et
C:\Windows\Applog\rundll32.lgc
et dans l'utilitaire msconfig démarrage j'ai une ligne
LoadPowerProfil Rundll32.exe powrprofdll.LoadCurrentPwrScheme.
J'ai bien envie de virer les 2 fichiers rundll ds Windows, en les sauvegardant sur une disquette pr le cas où ...
As-tu un avis sur la question ?
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
15 juin 2005 à 18:28
15 juin 2005 à 18:28
télécharge ceci et utilise-le
Pocket Kill Box :
(ici) http://www.florensac-chasse-trap.com/ section virus
-Ouvre-le
copie colle ceci
C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf
clic sur la croix blanche
réponds "oui"
fait de meme avec le deuxieme
-Vide la corbeille.
Pocket Kill Box :
(ici) http://www.florensac-chasse-trap.com/ section virus
-Ouvre-le
copie colle ceci
C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf
clic sur la croix blanche
réponds "oui"
fait de meme avec le deuxieme
-Vide la corbeille.
jmp59
Messages postés
29296
Date d'inscription
mercredi 9 juin 2004
Statut
Contributeur
Dernière intervention
25 novembre 2015
5 727
15 juin 2005 à 18:53
15 juin 2005 à 18:53
Dsl, ms je ne vois pas de croix blanche !
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
15 juin 2005 à 19:35
15 juin 2005 à 19:35
croix blanche dans rond rouge
jmp59
Messages postés
29296
Date d'inscription
mercredi 9 juin 2004
Statut
Contributeur
Dernière intervention
25 novembre 2015
5 727
15 juin 2005 à 20:58
15 juin 2005 à 20:58
J'ai beau chercher,
Pas + de rond rouge que de croix blanche !
C'est à quel endroit ds la page ?
Pas + de rond rouge que de croix blanche !
C'est à quel endroit ds la page ?
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
15 juin 2005 à 21:30
15 juin 2005 à 21:30
il faut bien lire vas sur ma page sect-ion virus logiciel de securite
et la telecharge la killbox
et la telecharge la killbox
