Mark

Coucou Mykerinos Ce fichier : C:\WINXP\system32\pidjypum.dll devrait normalement être supprimable en mode Normal, vu que l'infection Vundo active a été tuée. Si le fichier refuse de quitter, alors le supprimer du mode Sans Échec La ligne O4 associée devra être fixée également (en Normal aussi). Zoin : j'attire ton attention sur mon post #18 ^^. Merci, et bonne continuation à vous deux

Bonsoir vous deux Petite intrusion, juste pour en finir avec ce Vundo, si vous me le permettez.. VundoFix, en principe, aurait dû voir : C:\WINXP\system32\pidjypum.dll Zoin : pourrais-tu uploader ce fichier sur le site d'Atribune s'il te plait ? C'est simple et rapide. Voici comment : ----------------------------------------------------------- S'il vous plaît, aller ici pour uploader un fichier douteux pour analyse. "Your Username:" - Entrez votre pseudo sur ce forum "Topic Where File Was Requested:" - Copiez-collez le lien vers cette discussion >> http://forum.zebulon.fr/index.php?showtopic=112023&st=0 "File(s) To Submit:" - Bouton "Parcourir..." pour naviguer vers ce nom de fichier : C:\WINXP\system32\pidjypum.dll "Comments Or Further Info:" Écris ceci : "Mark asked me to upload this Vundo file, not seen by the tool" Cliquez sur Send File Merci Mykerinos te fera supprimer le fichier puis fixer la ligne (dans HijackThis!) par la suite. ------------------------------------------------------------ Prière de poursuivre là où tu en étais avec les manips. Il est possible que Spy Sweeper ait bouffé ce fichier, donc ignorer ma requête si c'est le cas @+

Coucou bibi , et bonjour sunny1231231 ; sunny ; j'aimerais juste apporter une petite précision au sujet de SmitfraudFix : lorsque tu passeras l'option #1 et que le rapport apparaîtra à l'écran (fichier du Bloc-notes nommé "Rapport.txt"), j'aimerais que tu fasses ceci s'il te plaît : Du fichier "Rapport.txt", clique sur le menu "Fichier" >> "Enregistrer sous..." - Renomme le fichier en Smitlog.txt - Sauvegarde-le sur ton Bureau - Tu peux poursuivre avec la suite des manips.. (Redémarrer en Sans Échec, etc..). - Tu posteras le contenu de ce rapport, ainsi que les autres rapports demandés. Merci Tu as plusieurs infections coriaces, et peut-être quelques rootkits également. De ces infections, il y a un Bot qui installe une porte dérobée avec keylogger, un trojan Wareout protégé par rootkit ainsi qu'un trojan Goldun/Haxdoor qui est protégé par rootkit lui aussi. Il se peut que tu aies d'autres trucs cachés, et les outils prescris permettront de les dépister (si présents). Bon succès à vous deux

Charly, James ; Merry Christmas to you both (and to all) Secret weapon up my sleeve ? Nope.. I've been doing some searching on the Dr.Web decoder(s), but most sites that come up are Russian which I do not understand. The variant you have does appear to be new, and possibly not decoded by any publicly released tool so far. I wish I had better news... Best bet is to wait for an official response from Dr.Web I would certainly advise against paying the ransome money to those rogue pushers though.. Are you willing to wait a bit more James ? We'll be here anyway Talk to you soon then

Salut Éric Désolé pour le retard... Tout semble Ok. Qu'entends-tu par "la phase WindowsUpdate" ? Doucement avec moi, je suis Québécois.. Pour le firewall : c'est plutôt urgent, et si tu n'as pas le temps de regarder pour la licence de ZA Pro, alors je te conseille d'installer la version d'évaluation de ce dernier, ou bien Kerio, qui tournera en version complète pendant 30 jours (même chose pour ZA). Le parefeu de Windows n'est pas efficace, car il ne surveille pas les connexions sortantes.. N'hésite pas si questions, et tiens moi au courant ! Mark.

Hi guys, James : any news from Dr.Web yet ? Did you submit an encrypted file for analysis there ? If you haven't heard anything by now, maybe we could try something... Let us know how things are going with the computer, and we'll look at our options

Hey guys, Found an interesting writeup at Dr.Web's (it's for an older variant though) : http://info.drweb.com/show/2747 This seems to be a new variant of this "Trojan.Encoder" type infection. Dr.Web released a special tool (decoder) for the older one (bottom of article). They now detect this new one as "Trojan.Encoder.10" (from post #16 ^^). This sure sounds like "ransomware"... James, I think you should contact the folks at Dr.Web from this link : http://support.drweb.com/new/ I am hopeful they will have a tool out soon

Hi guys I haven't read through this entire topic, but being from Canada, I decided to check that address out. It does look bogus There is a "121st Street" in Surrey (British Columbia), but the postal code points to another street (60th avenue). They haven't included the "door number" or phone number either, so that raises a red flag. The only "Cure Lab" found with Google is in Massachusetts(US) with another office in California. Good luck to both of you

Salut hue ; Le programme PLSRemote peut être utilisé par ton administrateur réseau. Il peut également être installé et utilisé par un pirate, d'où l'importance de savoir si l'administrateur l'a installé lui-même... Tu pourrais simplement dire à l'administrateur que tu as repéré un programme d'adminstration à distance sur ton portable et que tu veux simplement vérifier s'il est légitime... Pas nécessaire de mentionner que tu es inquiet ou que tu crains d'être sous surveillance... Ou bien demande à des collègues s'ils sont au courant d'une telle pratique avec cet administrateur. Je n'oserais pas te le faire virer avant confirmation, car ce ne serait pas "éthique" de ma part, et je ne voudrais pas te causer des soucis au boulot. Mais si tu veux le virer sans vérifier, je te dirai comment ! =================== Pour ce qui est du "keylogger" : je ne suis pas certain de quel keylogger... Tu m'as confirmé que VietKey2000 est légitime, alors on le laisse. PLSRemote est un programme qui peut tout surveiller, effectivement... C'est bien de lui dont tu me parles ? J'aimerais également savoir si tu as des problèmes avec le portable, ou bien des détections d'infection par ton antivirus ou autres scanneurs. Merci, et à bientôt

Salut hue Merci pour la confirmation sur Vietkey2000. La seule info trouvée que j'étais capable de lire (sur des sites non Vietnamiens) pointait vers un keylogger, quoique le chemin du fichier était bien différent. Avec les keyloggers commerciaux, les codeurs changent souvent les filepaths afin d'éviter la détection de leur produit, alors j'en suis venu à une conclusion qui était fausse dans ce cas-ci. C'est une bonne nouvelle par contre... Ok, pour PLSRemote : demande à l'administrateur niveau local. Ce programme est jugé "haut risque" car peut facilement permettre une prise de contrôle malsaine lorsqu'installé par un hacker... Je te laisse ce lien pour lecture : http://www.castlecops.com/o23list-921.html ..d'où l'importance de savoir qui a installé ce truc. J'attends donc ta réponse avant de poursuivre. À bientôt !

Bonsoir xeras. Pas jojo tout ça... Je viens de trébucher sur un petit utilitaire de Kaspersky, que tu devrais essayer ; ---------------------------------------------------- - Crée un nouveau dossier sur ton Bureau et nomme-le "Allaple" - Télécharge l'outil de désinfection à partir de ce lien : http://dnl-eu2.kaspersky-labs.com/utils/klwk/klwk.zip - Dézippe (extrais) les fichiers dans le nouveau dossier Allaple - Redémarre en mode Sans Échec - Ouvre le dossier et lance klwk.com Je ne sais pas si l'outil produit un rapport cependant ; si oui, sauvegarde-le. - Redémarre en mode Normal - Poste le rapport s'il existe - Rescanne chez Kaspersky (en ligne), puis poste ce rapport également... Bon succès

Bonsoir hue, et merci pur les précisions. J'avais regardé rapidement, et il s'agit bien de deux PCs distincts. Il y a quelque chose de similaire dans les deux (le keylogger), alors je n'avais pas attention au reste. Bon, sur celui-ci, il n'y a pas un prog louche mais deux ; en regardant celui de ta collègue, il ne fait aucun doute que les ordis sur ce réseau sont surveillés étroitement. Droit au but, pour ton portable : C:\Program Files\Vietkey2000\VKNT.EXE Ceci est un keylogger, et je crois que quelqu'un l'a installé physiquement (donc pas par une infection). Il y a peu d'infos sur ce prog, mais ça me rappelle ceci : http://www.agentland.fr/Download/Intelligent_Agent/2183.html Ta collègue a également ce prog... Les scanneurs anti-spy bondissent sur celui-ci, légal ou non. ------------------------------------- Et ceci : O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing) ...qui est un prog d'administration à distance. Quelqu'un peut prendre le control total du portable, et surveiller tout en temps réel. Ta collègue ne l'a pas celui-là... Avant de poursuivre, je vais te demander de faire une enquête auprès de l'administrateur du réseau, car si tu vires des progs sans vérifier, ça pourrait vite devenir délicat.. S'il n'a pas installé PLSRemote ; on le virera. S'il ne sait rien au sujet de Perfect Keylogger ; on vire ! Je déteste ces trucs... Je pourrai t'aider pour l'autre ordi. J'attends ta confirmation pour ces progs.. @+

Rebonjour hue Je viens de poster dans l'autre discussion que tu as amorcée, qui est un doublon. Je te demande donc de demeurer dans cette discussion-ci jusqu'à résolution du problème, s'il te plait Inscris-la en bookmark juste pour bien te retrouver. Ok... J'aime pas un truc que je vois dans ton log, donc je te pose une petite question : y-a-t-il une surveillance volontaire sur ce portable ? Par "surveillance", j'entends un programme commercial du genre keylogger... Ces programmes commerciaux sont très peu connus et peu répandus, alors je pourrais me tromper et le keylogger pourrait être présent suite à une infection aléatoire... Es-tu le proprio du portable ? Y-a-t-il d'autres utilisateurs ? De toute façon, y aura du nettoyage à faire... et je dois te dire qu'il y a porte dérobée, commerciale ou non, et que tes données perso/privées sont compromises... J'aimerais que tu me parles de symptômes également. @+

Bonjour hue Je constate que tu as déjà lancé 3 discussions en peu de temps pour ce problème. Sur les forums d'aide, nous demandons aux visiteurs de ne lancer qu'une seule discussion par problème, sinon ça devient fou et la confusion s'installe. Ce n'est l'idéal pour toi, et encore moins pour nous ! Y a beaucoup de travail pour les bénévoles, donc faut pas disperser les efforts. Considère cette discussion-ci fermée, et je vais te répondre dans l'autre que tu viens d'amorcer. @+

Bonjour Éric J'espère que la semaine à PAU se déroule bien ! Ton dernier log me semble Ok J'aime bien supprimer tous ces répertoires de Norton, moi aussi Dès ton retour, j'aimerais revoir un nouveau log HijackThis! et dis nous s'il y a des dysfonctionnements. La priorité maintenant : installer un parefeu ! Si tu peux installer Zone Alarm Pro rapidement... tant mieux. Sinon, je te suggérerais la version Free ou bien Kerio/Sunbelt (la version Pro tourne gratos pendant 30 jours, puis la version Free limitée demeure si t'achètes pas la licence..). À bientôt ! Mark.

Salut Bruce xeras : ton PC est sérieusement infecté ! Sans aucune mise à jour pour Windows, il n'est pas surprenant de constater les dégâts. Si je parle de "dégâts", c'est simplement pour t'avertir que le genre d'infection que tu as chopée fini par endommager le système d'exploitation ; sans mise à jour ou Service Packs, il serait peut-être préférable de formater immédiatement, puis de réinstaller Windows avec toutes les mises à jour critiques, incluant le Service Pack 2. Sans ce dernier, ta bécane est à haut risque de réinfection.. Si tu insistes pour désinfecter, je laisse Bruce continuer. Je veux que tu saches ceci, également : ces infections permettent aux pirates de contrôler ta bécane à distance, et ils peuvent y dérober toutes les infos sensibles qui y sont stockées. Vu les réinfections rapides, il y a probablement un rootkit (ou des rootkits) derrière tout ça.. ================== Concernant eScan maintenant : il utilise la base de données de Kaspersky, alors ce n'est pas normal qu'il ne voit rien. Tu as probablement oublié de faire la mise à jour manuelle, ou bien tu n'as pas déplacer les fichiers de mise à jour dans le dossier C:\Kaspersky Autre truc : il va falloir modifier son paramétrage un brin, car tu as plusieurs fichiers infectés qui ne sont pas sur le lecteur C: Voici ce que je te suggère afin que tu repasses eScan correctement, et Bruce pourra prendre la relève : - Va dans C:\Kaspersky et lance kavupd.exe ; sois patient. À la fin du processus de MAJ, tu verras "Press any key to continue". Appuie sur une touche (peu importe..) pour fermer la fenêtre DOS. - Maintenant... de l'Explorateur Windows, tu vas "Copier/Coller" tous les fichiers qui se trouvent dans C:\Downloads vers le dossier C:\Kaspersky Accepte le remplacement des fichiers existants - De C:\Kaspersky, lance mwavscan.com Au bas à gauche de l'interface, tu devrais voir ceci : "Virus Signature Date : 2006/12/11" (ou la date du jour). - Lorsque le temps sera venu de passer l'outil (pas tout de suite...), tu devras cocher la boîte "Drive", puis t'assurer que "All local drives" soit activé, et tu actives "Scan all files". Ensuite tu cliques sur "Scan Clean" (du mode Sans Échec bien sûr..) - Ferme l'outil pour l'instant, car inutile de le passer sans investiguer avec d'autres tools. Bruce prendra la suite.. Dernier truc : si tu désires ardemment une désinfection (qui risque de ne pas être complète vu la sévérité des bestioles), alors je te recommande de ne pas laisser ce PC connecté à l'internet sauf pour tes visites ici. Les bots présents ont probablement transformé l'ordi en zombie, c'est-à-dire en machine à spam ou à attaques avec serveur smtp caché et tout le tralala... pas jojo du tout ! Bon succès à vous deux..

Bonsoir vous deux Je voulais poster plus tôt, mais le forum était HS. Le temps me manque, alors je fais vite (pour l'instant..). Merci à Mykerinos pour l'utilitaire de Symantec je dois être masochiste pour vouloir désinstaller Norton en manuel... alors tu peux certainement utiliser le tool ! Je croyais trouver un outil différent sur Symantec/fr, mais c'est le même (avec mention US/Canada dans l'url) : http://service1.symantec.com/SUPPORT/INTER...050414110429924 Outil universel donc Redémarre après désinstallation, puis reviens mettre un nouveau log HijackThis!, juste pour confirmer. ---------------------------------------- Bien joué pour les deux versions anciennes de Java ; je m'étais fié au listing de VundoFix qui n'a pas vu ces deux-là : La SE v1.4.2_12 est particulièrement vulnérable aux Vundos... Je mentionnais "piège à Vundo" dans mon précédent post, mais j'aurais dû dire "appât" Pour ce qui est de failles poissibles avec ShockWave, je devrai faire quelques recherches, mais je n'ai rien vu là-dessus récemment... Je dois filer ! J'examinerai ton prochain log HijackThis! (pour Norton). @+ Mark.

Bonjour Éric Merci pour tous ces détails ! Ça me facilite le travail Il y a de belles choses là-dedans, mais heureusement les quelques fichiers infectés présents ne semblent plus actifs. On pourra tout de même leur botter les fesses **Il est possible que certains fichiers (ou dossier) résistent à la suppression en mode Normal ; si c'est le cas, supprime les en mode Sans Échec. =========================== c:\windows\system32\drvwak.dll << vire !! (associé au Desktop Hijack) ~~~~~~~~~~~~~~~ MS06-040_Server_Service_Buffer_Overrun_Exploit << dans PC-Cillin : aucune idée !! ~~~~~~~~~~~~~~~ c:\Documents and Settings\Administrateur\Application Data\SearchToolbarCorp\Toolbar Vision ..ceci est VSToolbar http://www.sophos.com/security/analyses/vstoolbar.html Pour désinstaller : - Clique sur "Démarrer" >> "Exécuter...", puis colle la ligne suivante dans la boîte et clique "Ok" : regsvr32.exe /u /s "%ProgramFiles%\VSToolbar\VSToolBar.dll" (infos ici : http://www.bleepingcomputer.com/uninstall/...-Explorer.html) ~~~~~~~~~~~~~~ c:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\system.dll ...le truc en rouge est un dossier, et non un CLSID. C'est du Vundo ça... Regarde ce que McAfee avait trouvé : C'est bien Vundo... et VundoFix le trouve celui-là, mais pas system.dll (qui est maintenant inactif de toute façon..). Tu peux donc virer le dossier suivant (en rouge) : C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021} << Astucieux ces pirates... ~~~~~~~~~~~~~~ Pour ce qui est des autres détections de McAfee : tu as bien tout viré avec ton BartPE ? Si oui, bien joué. On les aurait eu de toute façon, avec les outils que je t'ai proposés On y voit Vundo, Le fameux PWS qui dérobe les infos bancaires + Keylogger (Sinowal / Torpig / PWS-JA), Spwarestrike (Desktop Hijack), BackDoor-CVT (vient souvent avec Vundo - souvent viré par VundoFix), HackerDefender (fait partie du rootkit qui vient souvent avec des IRCBots/SDBots ; virés dans ton cas avec SDFix), Downloader-EV (IRCBot avec porte dérobée... viré par SDFix). McAfee n'a pas tout vu, surtout pas le fameux rootkit pe386 ~~~~~~~~~~~~~~ Quel traitement as-tu réservé à eMule ? Très radical j'espère ? (ne cherche plus la source de tes 40 de température... ). ~~~~~~~~~~~~~~ Ok, quelques manips préventives maintenant : Ta machine Sun Java n'est pas tout à fait à jour, et il traine une vieille version que tu dois désinstaller également (piège à Vundo...), alors voici quoi faire : - Ouvre le Panneau de Config - Ouvre "Java" (la tasse de café) - Choisis l'onglet "Mise à jour" (au haut), et clique "Mettre à jour maintenant" (au bas). - Installe la nouvelle version (Update 9) - Quitte la console Java. - Reviens au Panneau de Config >> "Ajout/Suppression de programmes" - Désinstalle les deux anciennes versions de Java, et ne conserve que la Update 9 : J2SE Runtime Environment 5.0 Update 6 J2SE Runtime Environment 5.0 Update 4 - Ferme le Panneau de Config. ----------------------------------- On vide la Restauration système maintenant, et on recrée un nouveau point tout frais : - Clic droit sur le Poste de Travail >> "Propriétés" >> onglet "Restauration du système" - Coche : "Désactiver la Restauration système sur tous les lecteurs" - Redémarre l'ordi - Retourner à cette même fenêtre après redémarrage, puis décoche la case afin de réactiver la restau - Quitte la fenêtre. ========================== C'est tout pour l'instant Le plus gros du travail est maintenant derrière nous (et ton log HijackThis! semble propre) Dis-moi si j'ai oublié des trucs. Ah oui, on devra virer les restants de Norton ; faudra désactiver/virer quelques Services ; je m'en charge au prochain post @ bientôt !

Bonjour Éric Oh là... je n'ai jamais vu le rapport de Panda !! Je comprends pas... vieillesse peut-être... Je suis désolé... Bon, ceci dit, je m'attaque aux restants et je prépare une manip. Pas nécessaire de rescanner chez Panda. 39,5 - 40 ??? J'ai fait ça il y a quelques années, et je me suis mis à déconner !!! Délire total... Je te souhaite un prompt rétablissement Salut Mykerinos Je ne connaissais pas ce soft ; il fait maintenant partie de ma boîte à outils ! Merci... ==================================== Éric, voici la suite ; Imprime, ou colle ces instructions dans un fichier texte : Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en bleu/gras ci-bas : C:\WINDOWS\system32\ctcnarbc.exe C:\WINDOWS\system32\khffcyx.dll Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. ---------------------------------------- Au redémarrage, tapote immédiatement la touche F8 afin de démarrer en Sans Échec ; De l'Explorateur Windows, je vais te demander de faire le ménage dans les répertoires suivants, qui contiennent une quantité de fichiers infectés (tu sauras quoi virer...) : D:\Emul\incoming\ << toutes ces archives "Crack" D:\Esaubignac\PERSO\Formations & certifs\ << je te les laisse virer, ne sachant pas tout ce qu'il s'y trouve.. D:\Esaubignac\Fournisseurs & constructeurs (docs)\ << même chose ici...vire les indésirables Redémarre en Normal après ces manips. ---------------------------------------- J'ai une question : est-ce vraiment essentiel d'avoir tout ceci en Zone de Confiance ? : Je pose la question, car je n'aime pas ça du tout cette "Zone" dans IE... En y plaçant ces sites, tu dis à IE de baisser toutes les défenses, ce qui n'est jamais souhaitable pour le minime gain en vitesse que cela peut apporter. Moi je viderais la Zone de confiance, mais je te laisse la décision finale. ---------------------------------- Après ceci, je te donne le feu vert ! Poste un nouveau log HijackThis!, et dis-moi pour les sites de confiance (à conserver ou virer), et surtout dis-moi si tu as toujours des symptômes ou dysfonctionnements. @+

Là c'est moi qui a du retard... Bon Mardi Il semble que je me sois mal exprimé pour le scan en ligne chez Panda. Lorsque le scan est complété, ils te donnent l'option de sauvegarder le rapport en fichier texte. C'est ce rapport que j'aurais aimé voir.. Tu n'as probablement pas sauvegardé celui-ci, donc je te demanderais de rescanner et ensuite poster le nouveau rapport ; si tu souviens des "virus" qui ont été détectés et fixés, ça serait chouette mais pas absolument nécessaire. Ils n'apparaîtront pas lors du nouveau scan, mais à tout le moins ils ne sont plus sur ta bécane Je m'occuperai des restants trouvés mais non fixés par Panda. Pour ce qui est d'un petit prog qui surveille les connexions, je te suggère fortement un bon pare-feu @+

Mais y a pas de quoi ! J'attends donc le rapport de Panda demain. Il restera quelques trucs à regarder, dont la restauration à vider (à la toute fin cependant). Si tu lis ceci avant le dodo, tu dormiras peut-être un peu mieux : http://fr.wikipedia.org/wiki/Akamai_Technologies Akamai est un géant, et ils sont partout sur la toile. Pourquoi seulement lorsque tu lances IE ? Bah, ça ne pourrait qu'être que ta page de démarrage qui se charge à partir du cache d'un serveur... gracieuseté d'Akamai Technologies Un petit WHOIS sur l'IP 80.67.85.72 ----------------------------------------------------- AntiVir n'est pas mauvais du tout ! Il y a Avast! aussi qui est gratos. À demain donc

Bon Dimanche Éric Je vais tenter de répondre à quelques unes de tes questions de façon pseudo intelligente... , en attendant le rapport de Panda ; ActiveScan voit des "hacking tools" et "risk tools" qui sont souvent légitimes ; on verra. Ils te proposeront d'acheter leur antivirus afin de tout nettoyer, mais ce n'est pas nécessaire !! On nettoiera l'essentiel manuellement. PC-Cillin est un très bon AV ; je ne suis pas un grand fan des tout-en-un (firewall + AV), mais ça pourrait être intéressant dans ton cas, vu les licences disponibles. Zone Alarm est très bien, mais je le préfère en version Pro. Il y a le parefeu de Sunbelt (anciennement Kerio) qui est excellent aussi ; il existe en version Free et Pro également. Va falloir virer Norton et AntiVir par contre, car tu ne dois pas avoir deux AVs résidents. Pour les anti-spys : Ad-Aware (Free) ne protège pas. SpyBot est Ok et protège un peu. SpywareBlaster est excellent et ne tourne pas en tâche de fond (il "immunise"). Il existe d'excellents progs avec boucliers, mais ils sont tous payants après la période d'essai (Ewido/AVG-Anti-Spyware, SpySweeper, SUPERAntispyware, CounterSpy, Spyware Doctor, WinPatrol, et d'autres...). Il y en a un qui est Free avec boucliers, et pas mauvais : Windows Defender de Microsoft, qui est en fait un clone de Giant/CounterSpy (pas mauvais..). Pour ce qui est de ton problème avec le parefeu Windows ; je ne suis pas celui qui pourra t'aider... Je ne suis pas spécialiste en OS, et n'oserais pas tripatouiller dans ta bdr. Les bénévoles du forum OS pourraient t'aider avec ce prob, si nécessaire. Tu as tellement viré de trucs qu'il pourrait être difficile de tout remettre en état.. Et ces infections multiples et plutôt horribles ne font jamais de bien à un système d'exploitation... @+ pour la suite Mark.

Salut ! Dure journée ici, mais je peux finalement revenir pour quelques minutes Ok ; je ne suis pas sûr de vouloir consulter ta liste de 100 000 fichiers... , alors on poursuit le ménage en espérant qu'il en reste un peu moins après Tu as très bien bossé jusqu'à maintenant, et Merci pour l'upload du fichier ! Pour ce qui est du keylogger, son installation coïnciderait avec l'installation d'une variante de Desktop Hijack jumelée à un rogue nommé SpySheriff (probablement). Si tu te souviens d'avoir eu un fond d'écran changé et de fausses alertes au bas à droite de l'écran, ben ça pourrait te signaler la date d'installation. Tout ce que je peux te conseiller de faire aujourd'hui, c'est de resécuriser tout ce que tu peux afin de minimiser les risques, s'il y a eu fuite... ========================= Occupons-nous de quelques fichiers infectés de ce Desktop Hijack maintenant. Prière d'imprimer, ou de coller ce petit bout d'instructions pour SmitfraudFix, car tu devras le passer en Sans Échec ; Redémarre en mode Sans Échec : Double clique sur smitfraudfix.cmd Sélectionne 2 et presse "Entrée" afin de supprimer les fichiers responsables de l'infection. A la question: "Voulez-vous nettoyer le registre ?" répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu. Redémarre en mode Normal. ~~~~~~~~~~~~~~~~~~~~~~~~ Poursuivons avec un scan en ligne chez Panda : Rends toi ici, avec Internet Explorer (impératif, car ça ne marche pas avec les autres navigateurs) : http://www.pandasoftware.fr/Activescan/Activescan.html - Clique sur "Analyser votre PC" - Accepte l'installation du contrôle ActiveX, et fournis toutes les infos demandées - Scanne le "Poste de Travail" (ça prendra un certain temps...) - Sauvegarde le rapport sur ton Bureau lorsque terminé Redémarre le PC (en Normal) Poste donc les rapports de Smitfraudfix(option 2 > Le rapport se trouve à la racine du disque système et se nomme C:\rapport.txt), ; le rapport du scan Panda ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. Dis-moi également ce que ton comptes faire côté antivirus (Norton ou AntiVir), et quel parefeu tu utilises (je n'en vois pas..). @ bientôt pour la suite !

Me revoilà Il nous reste tout un ménage à faire, alors je vais essayer de (presque) tout mettre dans ce post. Juste pour info : il y avait une autre infection présente sur ta bécane qui me fait frémir à tout coup (vue par AntiVir) : Cette bestiole permet au pirate distant de dérober tes infos bancaires (# de comptes, mots de passe) et # de carte de crédit. Elle installe un keylogger. Impossible de savoir si le pirate a eu le temps d'avoir accès à ta bécane... Ce que tu devrais faire : aviser sans plus tarder ton institution bancaire de cette situation, et ne plus transiger online avec cet ordi avant d'avoir tout nettoyé. Si la banque te change les mots de passe / # de comptes, ne pas les utiliser sur cet ordi avant d'avoir terminé le nettoyage. Voilà pour les mauvaises nouvelles... Je regarde également ton post #15 et les fichiers en rouge : plusieurs sont liés à un Desktop Hijack (une autre infection !!). Je m'occupe d'elle aussi. Tu veux me rendre un petit service ? Ça serait sympa... J'aimerais que tu uploades un fichier lié à Vundo, qui n'a pas été détecté par VundoFix ; le créateur de l'outil est constamment à la recherche de nouveaux fichiers, alors ça pourrait aider à améliorer l'outil. Voici la manip, toute simple, et Merci S'il vous plaît, aller ici pour uploader un fichier douteux pour analyse. "Your Username:" - Entrez votre pseudo sur ce forum "Topic Where File Was Requested:" - Copiez-collez le lien vers cette discussion-ci "File(s) To Submit:" - Bouton "Parcourir..." pour naviguer vers ce nom de fichier : C:\WINDOWS\system32\zuuefyb.dll "Comments Or Further Info:" - Écrire ceci : "Mark wanted me to send this "Klone" for analysis. Thanks !" Cliquez sur Send File Voilou. Au ménage maintenant ========================= Afin de voir tous les fichiers/dossiers cachés dans Windows XP : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge ATF Cleaner par Atribune sur ton Bureau. Ne le lance pas tout de suite. Prière d'imprimer, ou de coller ces instructions dans un fichier texte, à nouveau. Redémarre en mode Sans Échec. Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : ------------------------- O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing) O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing) O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing) O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing) ---------------------------- Clique sur "Fix checked", puis ferme HijackThis! Demeure en mode Sans Échec jusqu'à nouvel ordre. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Via l'Explorateur Windows, recherche et supprime ces fichiers, si présents : C:\WINDOWS\system32\zuuefyb.dll << C:\WINDOWS\system32\autoupdatev2.exe << C:\WINDOWS\system32\zhognyj_DELETED.dll << Et ceux-ci, si présents : C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll << C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000*.dll << (où * est un chiffre) C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm0000*.exe << (où * est un chiffre) Si erreurs ou problèmes, prends-en note. Ferme l'Explorateur. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Redémarre en mode Normal. Télécharge SmitfraudFix de S!Ri sur ton bureau Ne double clique pas dessus !! Fais un clic droit sur le fichier et choisis "extraire tout" Un nouveau dossier chercher va être créé nommé Smitfraudfix. Ouvre le et double-clique sur Smitfraudfix.cmd Une fenêtre va s'ouvrir, choisis l'option 1 Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post. Le rapport est également sauvegardé ici : C:\rapport.txt Ne pas lancer l'option #2, ou toutes autre option sans l'avis d'un conseiller. Colle un nouveau log HijackThis! en plus de celui de SmitfraudFix s'il te plait. Je serai absent une bonne partie de la journée, alors prière de ne pas m'attendre sur le board ! Je reviendrai dès que possible

Bien joué Il reste quelques trucs, mais rien de méchant. On poursuit ça demain ! Amuse-toi bien cette nuit, mais fais gaffe à l'abus @+