Mark

Bonsoir petitpoison Bon. L'infection qu'a trouvée AntiVir (Look2Me) date de 2005-2006 et peuplait avec beaucoup de fichiers, donc la quantité vue est normale. Je ne savais pas qu'AntiVir avait ces détections en banque : impressionnant je dois dire, vu l'âge de la bête. Look2Me modifie des trucs dans le registre qu'AntiVir ne peut réparer. Il y a probablement des restes non détectés et peut-être de vieilles infections (autres) que les scanneurs ne voient pas. Voici ce que je te propose (et ne touche surtout pas à la base de registre toi-même, ni avec des nettoyeurs) : ==================== Lance l'outil ComboFix, tel qu'expliqué dans ce guide : http://www.bleepingcomputer.com/combofix/f...iliser-combofix > Il est important d'installer la Console de Récupération. > Poste le rapport de l'outil ici, dans ta prochaine réponse. @+

Ah oui j'oubliais... Ces trois messages viennent de ta webcam D-Link. J'attends donc les rapports. @+

Bonsoir à vous deux, et désolé pour la petite intrusion ; ComboFix n'est pas un outil grand public ; les warnings qui s'affichent sont pourtant très clairs à cet effet. Jouer avec ComboFix, c'est potentiellement dangereux, surtout que tu n'as pas installé la Console de Récupération. RootkitRevealer en plus ? Tu sais comment interpréter les rapports de ces outils ? On ne pourra pas dépanner ton PC s'il plante suite à fausse une manip. L'outil renommé a tourné donc pas nécessaire de renommer différemment. Ne le repasse pas pour rien. Colle donc le contenu des deux rapports suivants, dans l'ordre, (sans lancer l'outil) : C:\Qoobox\Combofix3.txt C:\Qoobox\Combofix2.txt @+

Bonjour ; Je ne suis pas en France alors je connais peu (ou pas) les FAI et leur fonctionnement. Cependant, je vois que tu es chez Numericable, n'est-ce pas ? Tu aurais donc une IP dynamique, c'est-à-dire que ton FAI attribue une nouvelle adresse IP à chaque connexion (j'ai lu un truc d'un représentant à cet effet, dans un autre fil). Nouvelle IP : normal. Si ça ne répond pas à ta question, on verra pour déplacer ton sujet vers les gens de Réseaux peut-être. @++

Bonjour Jean J'ai refait le tour du propriétaire ; rien d'anormal à signaler. Le rootkit de la zone amorce est détruit. Je t'invite donc à désinstaller ComboFix de la façon suivante : "Démarrer" >> "Exécuter...", puis copie/colle la ligne suivante dans la boîte et clique "OK" : Combofix /u >> La désinstallation est rapide et une confirmation apparaîtra à l'écran, lorsque terminée. Note : il ne faut pas conserver ComboFix, qui est mis à jour régulièrement et qui est dangereux si utilisé sans supervision (j'insiste). Lance maintenant OTM.exe (qui devrait être sur ton Bureau) et clique le bouton "CleanUp" ; ceci supprimera les restes d'outils, OTM inclus. Vérifie ensuite que mbr.exe et son rapport ont disparu ; si non, supprime-les manuellement. C'est tout. Ou presque Là, c'est toi le maître de ta destinée. Le Peer-to-peer, c'est dangereux. Pire pour les cracks/keygens, etc... Les protections peuvent être excellentes sur une machine, mais ce sont les décisions prises par l'utilisateur qui dictent le niveau de sécurité, ultimement. Si questions ou commentaires, je suis là, pas de gêne. @+ Mark

Bonsoir Jean Désolé pour le délai de réponse : je manque péniblement de temps et là je n'ai que deux minutes. L'outil mbr a fait son boulot ; le rootkit n'y est plus. Je vais donc regarder calmement les autres rapports dès que j'ai 10 minutes. D'ici là, peux-tu me dire comment se comporte la machine ? Les symptômes évoqués dans ton premier post sont-ils toujours présents ? Merci pour ta patience, et @+ Mark

Je te le mets en Résolu, et y pas de quoi Bon surf surtout, et prudence @+ Mark

Bonjour Jean Le rootkit est bien là. Voici la suite : =================== - Sélectionne la ligne suivante en entier puis fais un clic droit dessus et choisis "Copier" : "%userprofile%\Bureau\mbr" -f - Clique sur le bouton "Démarrer", puis sur "Exécuter..." - Place ta souris dans la boîte, fais un clic droit et choisis "Coller" puis clique "OK" - Un rapport apparaîtra à l'écran lorsque terminé ; - Du menu "Fichier" de ce fichier rapport, choisis "Enregistrer sous...", puis sauvegarde le fichier sur ton Bureau en le nommant mbrfix - Supprime le fichier mbr.log qui se trouve sur le Bureau. ~~~~~~~~~~~~~~ Dans un deuxième temps : - Relance l'outil mbr.exe par double clic ; - Un rapport apparaîtra à l'écran : >> Copie/colle le contenu des deux rapports dans ta réponse, dans l'ordre : mbrfix.txt puis mbr.log @toute

Ça me semble Oké à présent Il faut faire gaffe avec les fichiers téléchargés via Peer-to-peer, torrents, etc... En fait, il faut éviter. Pire encore: les cracks, keygens, et autres promesses de gratuité avec taux d'infection à environ 85%. Il faut maintenant désinstaller ComboFix, de la façon suivante : "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u La désinstallation est rapide et il y aura confirmation à l'écran. Tu peux conserver Malwarebytes' Anti-Malware et faire des analyses (rapides) périodiquement ; n'oublie pas de mettre le programme à jour via l'onglet "Mise à jour" au préalable. C'est tout Questions ou inquiétudes ? Je suis là, pas de gêne. @+

Voilà de l'excellent boulot Grâce à la Console, le travail semble avoir été fait, pour ce qui est du fichier système infecté. Je vois encore une trace d'un Service louche mais il n'est pas actif, alors on le retire et puis tu me dis comment tourne la machine (McAfee compris) : ================= À nouveau, prière de désactiver McAfee complètement avant de poursuivre. **Le script prescrit ci-bas a été préparé pour la machine de samix31 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): File:: c:\windows\system32\drivers\443da05d.sys Driver:: 443da05d *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt - Dis-moi comment tourne la machine et si McAfee intervient toujours avec une détection. Courage @+

Alors voilà une belle découverte ; Sinowal est un virus qui se loge dans la zone d'amorce du disque dur. AntiVir est l'un des rares antivirus à pouvoir le détecter. Sale bête... on va tenter de lui faire la peau sans tarder : ================ Télécharge mbr.exe (de GMER) du lien suivant et sauvegarde-le sur ton Bureau : http://www2.gmer.net/mbr/mbr.exe - Désactive ton antivirus temporairement. - Lance le fichier mbr.exe par double clic - Lorsque l'analyse sera terminée, un rapport apparaîtra à l'écran (mbr.log) ; - Copie/colle le contenu du rapport ici, dans ta réponse. @toute

Je voulais te demander : quel(s) problème(s) as-tu rencontré(s) lors de l'installation de la Console de Récupération ? S'il y a un problème lié à cette infection, j'aimerais en prendre connaissance. J'aimerais également que tu retentes l'installation de la Console manuellement, en suivant les instructions du tuto suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix (depuis la Table des matières au haut, c'est le point 4. Installer manuellement la Console de récupération) Note : Il faut impérativement désactiver McAfee juste avant de débuter l'opération d'installer la Console avec ComboFix. Si l'opération se déroule bien, ComboFix installera la Console puis t'offrira de lancer une analyse : accepte. Poste ensuite le rapport ici. Si les problèmes d'installation de la Console persistent, fais-moi signe, bien sûr. J'aimerais également que tu me dises si tu as accès à une autre machine (parents, amis, etc...) qui tourne sous XP Pro SP3, car nous pourrions avoir besoin d'un fichier sain (une greffe, si tu veux). @+

Bonjour ; Juste de passage rapide. Bon alors ComboFix a confirmé la présence de cette bête. Il semble y avoir atteinte d'un fichier système, effectivement ; sans la Console de Récupération, ça complique un brin la réparation, qui devra être opérée. Je dois regarder quelques trucs lorsque j'aurai un peu de temps. Je posterai de nouvelles instructions dès que possible @+

Bonjour little-angel02 Je vais fermer ce sujet-ci, car tu en as lancé deux pour un même problème. Un seul sujet s'il vous plaît. Prière de surveiller celui-ci et d'y demeurer pour la suite : http://forum.zebulon.fr/antivirus-probleme-t166283.html Merci

Bonjour samix31, pear Je pense que McAfee sent une bestiole, effectivement : O4 - HKLM\..\Run: [ms18_word] C:\WINDOWS\system32\ms18_word.exe O4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\sam\ms18_word.exe O4 - Startup: ikowin32.exe Lorsque ces lignes sont présentes (il peut y en avoir d'autres, et des variations sur le thème), c'est signe d'une infection récente et plutôt coriace. Les antivirus connaissent mal, MBAM est incapable (à ce jour) de la traiter. L'infection injecte généralement un fichier système, ce qui provoque une regénération à chaque démarrage. samix31, prière de lire attentivement la page vers laquelle je t'envoie afin de lancer ComboFix sur ta machine. Lors de l'installation, on te proposera d'installer la Console de Récupération : cette étape est cruciale avec ce type d'infection, sinon l'outil ne peut pas tout nettoyer et on tournera en rond. Autre point important : McAfee gêne considérablement ComboFix, alors il est primordial de le désactiver (tout-tout, pare-feu compris) avant de lancer ComboFix. Voici le tuto : http://www.bleepingcomputer.com/combofix/f...iliser-combofix Poste le rapport ici lorsque l'analyse sera terminée. @+

Bonsoir ; Ce n'était pas 01Net, mais bien Clubic. Peu importe. Je ne connais pas les philosophies de ces sites, ni leurs dirigeants, alors je ne peux me prononcer. Un keylogger commercial se place directement dans une zone grise, j'imagine, en proposant quelque chose de soit disant légitime (contrôle parental - une juste cause), mais utilisant une technologie d'espionnage qui croule sous toute loupe éthique. Les gros sites de téléchargements ne passent pas tout à la loupe et se préoccupent des retombées, aussi. Autre point à considérer : j'ai testé l'un de ces keyloggers l'autre jour (pas le même), offert en version gratuite ou payante. J'ai pris le gratuit. Beaucoup de fonctionnalités étaient absentes dans la version free, dont l'envoi de rapports, le mode "totalement furtif" et la prise de captures d'écran. Bref, le programme n'offrait aucune invisibilité sur la machine, enregistrait les frappes uniquement et n'envoyait aucun rapport hors de la machine. Je me suis dit que ça ne valait vraiment pas la peine de faire tourner un truc pareil, surtout qu'un novice peut rapidement déceler sa présence et le déjouer. L'éditeur a dû penser la même chose en offrant la version gratuite, en espérant que les clients achètent une licence afin d'avoir un "vrai" programme furtif et performant (tout étant relatif hein). J'en ai croisé sur les forums, même les "meilleurs" qui coûtent cher, et je peux te dire que la pub de furtivité complète est fausse. Sur les forums, nous avons l'arsenal nécessaire pour détecter tous ces engins, peu importe leur prix et les promesses. De plus, les "clients" permettent l'envoi de toutes les activités de la machine via les serveurs des éditeurs du programme, mais ne le savent pas nécessairement. Les sites de téléchargement ne le savent pas nécessairement, eux non plus, car ce n'est pas inscrit dans la fiche technique (surtout pas). J'ai vu des rapports détaillés d'analyse de certains fichiers récoltés sur forums et je te garantis que ça transite via des serveurs appartenant aux éditeurs. Qui sont ces gens ? Tu voudrais leur confier ta vie personnelle ? Tes informations bancaires, de cartes de crédit, le contenus de tes emails, de tes fichiers perso plus des captures de ton surf, etc..? Moi non, au grand jamais. Alors voilà.

J'avais quelques minutes, alors je te propose une autre analyse qui nous permettra de regarder plus "large" : Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/OTL.exe - Lance l'outil par double-clic ; - Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) : >> Sous Extra Registry, coche Use SafeList >> Vers le haut, coche Scan All Users - Clique maintenant sur le bouton "Run Scan" - Deux rapports seront générés par OTL, soient OTL.Txt et Extras.Txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches. - Copie/colle le contenu des deux rapports ici, dans ta réponse, s'il te plaît. ==================== Conseil amical : Avast! n'a pas su détecter la bestiole au départ ; peut-être n'était-il pas encore installé, ou bien il l'a tout simplement loupée. AntiVir (gratuit) connait cette bête depuis plusieurs semaines déjà, alors je te conseillerais de désinstaller Avast!, pour ensuite mettre AntiVir et de faire un examen complet. Tu trouveras AntiVir ici >> http://telechargement.zebulon.fr/antivir.html Une fois installé, refuse l'analyse qui te sera propsée car tu devras lancer la mise à jour manuellement, via l'icône près de l'horloge. Ensuite tu peux lancer l'analyse complète. Les mises à jour se feront automatiquement par la suite, une fois par jour, généralement. *L'installation d'AntiVir est optionnelle, mais je te le conseille. J'attends donc les deux rapports de l'outil OTL et peut-être celui d'AntiVir également. @toute

Woa, c'est rapide ! Zut, rien. Pourrais-tu me confirmer que ces dossiers sont vides, juste en regardant via l'Explorateur s'il te plaît ? IL y en a plusieurs et je ne sais pas d'où ils viennent. Je dois quitter le poste pour plusieurs heures, mais je repasserai en soirée (nuit chez toi). @toute

Merci pour les rapport et les précisions Bon c'est étrange, en effet. J'ai désactivé ton lien, juste pour éviter qu'un membre/visiteur ne se retrouve dans la même situation Juste une petite note : cette même infection a circulé, mi Juillet, sur un site qui offrait un service de vérification d'examens ou un truc du genre (bac). Je vois des sous répertoires étranges sur ta machine, à l'intérieur du répertoire système, dont les noms sont composés avec un alphabet plutôt exotique. On va regarder ça. =============== Télécharge SystemLook sur ton Bureau à partir d'un des liens ci-dessous. Miroir de téléchargement #1 Miroir de téléchargement #2 Double-clique sur SystemLook.exe pour le lancer. Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook : :dir c:\windows\system32 /wŽ* Clique sur le bouton Look pour démarrer l'examen. A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse. Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt @+

Rebonjour jean6060 ; Ton message ne contient qu'une citation de mon post précédent. Lorsque tu réponds sur le forum, clique sur l'autre bouton "REPONDRE", entre "FLASH" et "NOUVEAU" (un peu plus bas) ; ensuite, il ne te reste qu'à y mettre du contenu @+

Bonjour jean6060 ; Tout d'abord, je te souhaite la bienvenue sur le forum Avant de prescrire quoique ce soit, je vais te demander quelques rapports qui existent sur ta machine ; je fais ça car ils pourraient contenir des informations pertinentes. Je dois aussi te dire que tu n'aurais pas dû utiliser ComboFix sans être guidé par un bénévole de forum formé ; les warnings sont pourtant clairs lorsque tu lances l'outil. Tu aurais également dû installer la Console de Récupération, proposée par ComboFix. De plus, tu n'as pas lancé ComboFix une seule fois, mais quatre fois dont deux passes qui ont échoué >> ce qui est signe de problème mais tu as persisté à le faire seul. C'est dangereux. À ne pas refaire, sinon il faudra peut-être vivre avec les conséquences. Tu as également utiliser OTM, sans être guidé ? Peux-tu nous parler de la cause possible de tes soucis ? ================ Prière de copier/coller le contenu des rapports situés aux endroits suivants : C:\_OTM\MovedFiles\********_******.log (où ********_****** correspond à la date_heure) et... C:\Qoobox\ComboFix2.txt ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ J'aimerais également que tu fasses analyser un fichier, en ligne. Voici comment faire : Afin de voir tous les fichiers/dossiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Rends-toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Retrouve le fichier suivant et double-clique dessus afin de le sélectionner : C:\Windows\System32\drivers\otey.sys Clique sur Envoyer le fichier >> si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Réanalyser le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Si c'est le cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse sera complète, tu n'auras qu'à copier/coller le lien ici, dans ta réponse (de ta barre de navigation). @+

Bonsoir CaPiTo26 ; Voilà où nous ne sommes pas d'accord. Un keylogger, par définition, propose une invasion extrême et retire du fait même toute intimité. Toute activité effectuée sur la machine ciblée est enregistrée et sera acheminée vers le demandeur. Contrôle parental ? C'est trop. Je pense plutôt à du voyeurisme déguisé. De plus, et c'est sur ce point que je tique sévèrement : les éditeurs de keyloggers dits "commerciaux" proposent aux intéressés l'envoi de rapports détaillés des activités prélevées sur la machine ciblée ; ces rapports détaillés peuvent être transmis via email, ftp ou http, selon les options offertes. Ces rapports transitent via les serveurs de nos amis éditeurs du programme, donc ils ont accès à tout, eux aussi. Est-ce souhaitable ? Double invasion, de l'utilisateur ciblé mais aussi de toute autre personne qui utilise la machine, demandeur compris. Voilà les vrais dangers liés à ces programmes. Les malfaiteurs ne font pas mieux... @+

Il y avait un message, précédent le mien, que j'ai retiré. Le membre a posté un lien vers un keyloggeur de "contrôle parental" gratuit, disponible via un site dit de confiance. Ces programmes présentes des risques imminents, pas seulement pour les utilisateurs espionnés. Tout programme qui récolte les activités d'un ordinateur peut permettre à n'importe qui d'avoir accès à toutes les informations confidentielles présentes sur la machine, sans parler de récolter tous les mots de passe, # de comptes bancaires ou cartes de crédits, etc... Ces programmes ne font pas seulement qu'enregistrer les frappes, ils peuvent prendre des captures d'écran, relever toute activité de surf et de messageries, transmettre les mots de passe, etc... Il existe des moyens plus sûrs et éthiques de faire du contrôle parental : celui-là est à éviter, tout simplement. @+

Bonjour à vous deux ; Pardonnez ma curiosité à nouveau... J'ai fait quelques recherches. Le premier fichier détecté par Kaspersky est un truc plutôt vieillot, qui nous recule à 2006 environ. Un vieux Winfixer qu'on ne voit plus de nos jours. Celui-là est un installateur et non un fichier actif. Y a Kaspersky qui le détecte toujours, et probablement Panda et AVG aussi. AntiVir Premium le verrait peut-être également car sa base d'adwares est plus étendue que celle de la version Free. Peu importe, ce n'est plus une menace, mais on peut le virer. Le second fichier fait partie d'un adware assez nocif (SahAgent), mais nous n'avons là qu'un fichier .ini, donc rien de menaçant. La composante active n'y est tout simplement pas/plus. Probablement une détection de la base "étendue" de Kaspersky. À virer, dans le but de faire du ménage, tout au plus. Voilà

Notre nouveau membre Frouza avait posté son rapport RSIT ici-même, alors j'ai déplacé dans un nouveau sujet : http://forum.zebulon.fr/split-sujet-de-frouza-t165988.html