| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
 Posté le: 05 Jan 2006 16:07 Sujet du message: 554 relay access denied : Troj/Dns.Changer + Tubby [Résolu] |
|
|
Bonjour,
Je sais que ce problème de ne plus pouvoir envoyer de mails à partir de Outlook a déjà été abordé, mais je ne trouve pas la solution. ( par ailleurs, pas de problème au niveau de Wanadoo , ni pour recevoir les mails dans Outlook ); aussi, je vous envoi mon log file en espérant que vous trouviez quelque chose.
Mon Norton n'a rien trouvé, ni MSRT, ni McFee stinger.
par contre, dans mon log file, j'ai toujours après quelque minutes d'ouverture d'Explorer le site turboinet.com/r.cgi qui s'affiche, ainsi qu'une 2ème ligne en R0 HKCU avec andrewlinks ( au lieu de wanadoo ) que je supprime ( fix-checked ) tous les matins ne sachant pas comment m'en débarasser ! ( j'ai pourtant décocher la restauration système )
pour finir mon Spyware Ad-Aware détecte régulièrement:
HKEY_USERS:S-1-5-21-11
HKEY_LOCAL_MACHINE que j'élimine aussi mais qui reviennent aussitôt !
HELP ! merci d'avance.
http://cjoint.com/?bfq1IsfvCF
Liens édités par Loreleï |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 05 Jan 2006 21:40 Sujet du message: |
|
|
Bonsoir et bienvenue,
Il y a du monde sur ton pc.
Du temps que je regarde ton log, fais un scan en ligne avec Panda et poste le rapport.
Télécharge, installe & nettoie ton pc avec CleanUp ça fera un premier nettoyage.
On te dira quoi faire ensuite. 
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 06 Jan 2006 11:15 Sujet du message: 554 problème |
|
|
merci bien pour ton aide.
J'ai donc suivi tes indications et voilà le résultat ! on se demande à quoi sert la passoire Norton qui n'a rien détecté.
l'un est pour le disque dur et l'autre pour poste de travail.
( RAS pour le reste )
http://cjoint.com/?bgmkfIZ1Yh
http://cjoint.com/?bgmju64vqM
j'ai ensuite fait le Clean Up mais mes problèmes sont toujours là ( erreur 554 et turboinet entre autre ). Dois-je refaire le test panda après le Clean Up ? Merci encore!
Forest |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 07 Jan 2006 1:23 Sujet du message: |
|
|
Bonsoir Forest,
CoolWebSearch et ses multiples variantes ont élu ton pc comme domicile.
 HijackThis n'est pas à sa place
Réinstalle le à partir >>d'ici<<
 Tu devras toujours le lancer à partir du répertoire C:\HijackThis\HijackThis.exe afin qu'il puisse créer un backup.
Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre, dans l'ordre et sans t'interrompre.
Si tu as des questions n'hésite pas à les poser avant de commencer
- Désinstalle Msn Plus et réinstalle le en faisant attention à bien refuser le sponsor.
- Désinstalle Desktop Messenger (Logitech) par Ajout Suppression de Programmes du Panneau de Configuration.
- Désinstalle Aluria Software ( Aluria Spyware Eliminator) s'il est toujours installé
- Vide la quarantaine de Norton
- Télécharge & installe les outils suivants :
- Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
| Citation: | C:\WINDOWS\SYSTEM32\MTC.ini
C:\WINDOWS\INF\biini.inf
C:\WINDOWS\pcconfig.dat
C:\WINDOWS\msbbau.dat
C:\WINDOWS\inf\biini.inf
C:\WINDOWS\inf\gsim.inf
C:\Documents and Settings\Administrateur\Local Settings\uninstall\Temp\gsim.inf
C:\WINDOWS\system32\yaemu.exe
C:\WINDOWS\system32\wer8274.dll |
Dézippe About:Buster et lance le, ne clique pas sur Begin Removal mais sur Update seulement
Débranche ta connexion internet à partir de maintenant et ferme tous les programmes en cours
Lance CCleaner comme c'est expliqué sur le tuto
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
Redémarre en mode sans échec
Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O1 - Hosts: d.com
O1 - Hosts: nd.com
O1 - Hosts: d.com
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\system32\wer8274.dll
O4 - HKLM\..\Run: [TradeManager] C:\PROGRA~1\ALIBABA\TRADEM~1\TradeManager -hideframe
O4 - HKCU\..\Run: [wavedisk] C:\WINDOWS\Fonts\wavedisk.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FF42B9F-0EEE-4BE6-B89A-77C1CFD837EF}: NameServer = 85.255.116.74,85.255.112.236
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA8A8966-041D-4199-9FBD-20E0B10BE7D8}: NameServer = 85.255.116.74,85.255.112.236
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FF42B9F-0EEE-4BE6-B89A-77C1CFD837EF}: NameServer = 85.255.116.74,85.255.112.236
O23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)
Clique sur Fix Checked et accepte les modifications.
Lance CWShredder, clique directement sur "Fix" (s'il trouve quelque chose note le nom de la variante de CWS trouvée et donne le moi)
Lance About:buster et clique sur Begin Removal. A la fin du scan, relance-le une seconde fois pour terminer le processus d'éradication.
Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
Double-clicque sur Hoster
- Clique sur Restore original Hosts et rien d'autre
- Ferme le programme
- Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
- Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
Fais un scan complet avec Spybot & Ad-Aware --> Supprime tout ce qu'ils trouvent
Nettoie de nouveau avec CCleaner
Relance CleanUp
Redémarre normalement
Fais un scan en ligne avec Panda d'abord puis KAV et et donne moi les deux rapports. (pour les scans sélectionne tous les disques durs)
Nouveau log HijackThis (Do A System Scan and Save A Logfile)
A l'issue de cette procédure, tu dois pouvoir envoyer des mails, mais il restera sans doute du nettoyage à faire pour les autres infections.
Bon courage
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 07 Jan 2006 9:41 Sujet du message: 554 |
|
|
Bonjour,
Je n'aurais pas cru que ça allait si mal ! Je dois m'absenter pour près de 15 jours; j'ai un copain, François qui va prendre le relais en mon absence et qui te tiendra au courant dès que possible.
Je reprendrai contact dès mon retour; en attendant, encore merci.
Forest |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 19 Jan 2006 7:21 Sujet du message: problème 554 |
|
|
Bonjour,
je viens juste de rentrer de voyage mais comme je le pensais, mon ami François à suivi toutes les instructions...et ça marche !
Comment te remercier ? Mes mails sur Outlook ne sont plus retournés et les autres problèmes que j'avais semblent avoir disparus.
Tu disais qu'à l'issue de cette procédure, il y aurait encore du nettoyage à faire. Dois-je te renvoyer mon dernier log file pour vérifier ?
En tous cas, merci encore. Je ne savais pas comment m'en sortir ! |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 19 Jan 2006 9:45 Sujet du message: |
|
|
Bonjour Forest,
Oui poste ton log HijackThis et les deux rapports de scan que je t'ai demandé, CWS est un client coriace il vaut mieux vérifier
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 19 Jan 2006 16:31 Sujet du message: |
|
|
Ton log HijackThis, tu l'as tiré avant ou après les scans 
Vide la quarantaine et la corbeille de Norton (c:\Recycled\NPROTECT\).
Pour ça va voir >> cette info >> et fais les mises à jour de Norton qui s'imposent
Fais ensuite un nouveau scan avec KAV et poste moi un nouveau log HijackThis. Fais également ce scan avec >> PestPatrol << et poste moi le rapport.
Aluria Spyware Eliminator a-t-il bien été désinstallé ?
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 20 Jan 2006 10:47 Sujet du message: problème 554 ( suite ) |
|
|
La quarantaine de Norton était bien vide mais il y a 129 files dans " éléments de sauvegarde "; dois-je les supprimer ?
Il n'y a pas d' Aluria mais j'avais Ad-wareX eliminator que je viens de supprimer. (s'il y a un rapport ? )
Mais j'ai toujours Lavasoft Ad-wareSE dont la quarantaine est vide également.
J'ai fais la mise à jour de Norton.
En attendant ta réponse, je refais un KAV |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 20 Jan 2006 11:31 Sujet du message: Re: problème 554 ( suite ) |
|
|
Bonjour Forest,
| Forest a écrit: | | La quarantaine de Norton était bien vide mais il y a 129 files dans " éléments de sauvegarde "; dois-je les supprimer ? |
Oui tu vires tout ça
| Citation: | | Il n'y a pas d' Aluria mais j'avais Ad-wareX eliminator que je viens de supprimer. (s'il y a un rapport ? ) |
Tu as bien fait, c'est un rogue.
| Citation: | | Mais j'ai toujours Lavasoft Ad-wareSE dont la quarantaine est vide également. |
Lui tu le gardes, il est sain
Poste moi un nouveau log HijackThis dans la foulée.
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 20 Jan 2006 14:50 Sujet du message: problème 554 (suite 2 ) |
|
|
Donc, j'ai vidé les Norton " recycled files sauvegardées "
Voici donc le nouveau KAV et Highjack log.
http://cjoint.com/?bupTenAJ8I
http://cjoint.com/?bupUHVyN3B
Par contre, je n'arrive pas à faire le Pestpatrol. Il ne se passe rien.
Il y a encore beaucoup de choses dans le Kav.... j'espère que c'est pas trop grave ? |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8028
Localisation: Rouen (France)
|
| Posté le: 22 Jan 2006 1:23 Sujet du message: |
|
|
Bonjour Forest.
Tu as bien vidé la quarantaine de Norton avant de faire le scan avec KAV
Puisque tu as fait la mise à jour de Norton SystemWorks, tu devrais pouvoir vider NProtect.
Si tu ne sais comment faire, vas-y à la mano en vidant le contenu de ces répertoires :
C:\Program Files\Norton AntiVirus\Quarantine
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine
C:\Recycled\NPROTECT\
Et vide la corbeille ensuite.
Il reste quelques traces d'infections sur ton log.
- Par le menu Démarrer / Exécuter (ou touche Windows et R)
- Tape services.msc
- Double clique sur Aluria Spyware Eliminator Service
- Clique sur "Arrêter"
- Définis le Type de démarrage en "Désactivé"
- Clique sur Appliquer et ferme la console
- Redémarre en mode sans échec
- Ouvre HijackThis, coche et fixe ces ligne si présentes :
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O23 - Service: Aluria Spyware Eliminator Service (ASEService) - Unknown owner - C:\PROGRA~1\ALURIA~1\ASE\ASEServ.exe (file missing)
- Clique sur Fix Checked et accepte les modifications
- Assure toi d'avoir toujours accès aux fichiers cachés et supprime ce fichier si présent :
C:\WINDOWS\system32\yaemu.exe
- Vide la corbeille
- Relance CWShredder (clique directement sur Fix) et dis moi s'il trouve quelque chose
- Nettoie de nouveau avec CCleaner et redémarre normalement ton pc.
- Fais un nouveau scan en ligne avec Kav et poste un nouveau log HijackThis.
Est-ce que MSN Plus a bien été désinstallé et réinstallé sans le sponsor
@+ |
|
| Revenir en haut |
|
|
Forest
Nouveau
Inscrit le: 05 Jan 2006
Messages: 11
|
| Posté le: 23 Jan 2006 10:27 Sujet du message: problème 554 ( 23.01 ) |
|
|
Bonjour,
Pour le nouveau Kav de ce jour, j'ai bien vidé les 2 quarantaines de Norton mais il est impossible de trouver le Nprotect; le Recycled est vide ( fichier caché activé ); j'ai essayé avec Excécuter mais le chemin est introuvable. Pourtant, dans les propriétés, il est indiqué une taille de 62.8 Mo ( 1476 fichiers et 1 dossier ) et je vois que le Kav détecte 2 virus à cet endroit. Lorsque je tappe C:\Recycled\Nprotect dans l'adresse, je ne peux pas finir; l'adresse reveint automatiquement à C:\Recycled
Pour Aluria, il était déjà en Status Arreté mais pas désactivé. C'est donc fait
Le yaemu était présent dans le Highkack ( et donc fixed ) mais pas l'Aluria. Et le yaemu n'était plus présent dans le C:\ après le fixed.
CWshredder n'a rien trouvé ( le CWS )
MSN a bien été désinstallé et réinstallé sans sponsor.
Voici donc les derniers Kav et Highjack après tout ça.
http://cjoint.com/?bxkYzoclU7
http://cjoint.com/?bxkZSEhUfY
Cependant, le fait de ne pas trouver le Nprotect m'inquiete ( surtout qu'il n'est pas vidé ).
J'ai aussi un petit problème bizarre ( ancien ); à chaque fois que j'ouvre une page d'un dossier, il se crée une nouvelle page ( au lieu d' utiliser une fenêtre unique comme coché dans les options de dossier ). ce n'est pas très grave, mais c'est peut-être un symptome qui révèle encore la présence d'un individu malfaisant (!?) |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
