Mark

Salut Je suis dans la bouffe, mais je prends une minute pour te répondre... Te lances l'outil en mode Normal ; il redémarrera la bécane lui-même, une ou deux fois. Bon succès !

Laurent gato456 : les outils ont bien bossé, et là SDFix nous a détecté une "hyper bestiole" ; c'est un rootkit vraiment astucieux et bien caché celui-là.. et en plus il protège les infections... On le vire ; =============== Télécharge ce fichier (par ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe ...et sauvegarde-le sur ton Bureau. Double clique rustbfix.exe afin de lancer l'outil. Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement. Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt). Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse. **Il restera du boulot, mais ça devrait aller mieux

Mes excuses à Laurent_62 au passage... Avec la lenteur du forum ce soir, et la rapidité des répliques ici-même, je n'ai jamais vu les posts #2, 3, 4 et 5 avant de poster. Je dois quitter pour deux ou trois heures, donc je reviendrai consulter les rapports un peu plus tard. Bonne nuit donc [Edit]Semblerait que nous ayons posté en même temps... Le rapport de VundoFix est bon. À plus tard pour la suite[/Edit]

Salut Eric, et je te souhaite la bienvenue sur le forum Sécu Ben là, je ne peux rien te garantir vu les multiples manips effectuées hors forum. Mais essayons à tout le moins de déloger les deux infections qui sont toujours actives. Voici comment faire : ================================ Prière d'imprimer, ou de coller ces instructions dans un fichier texte, pour lecture en mode Sans Échec. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Déroule la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Ferme le rapport pour l'instant ; je te le demanderai plus tard. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Copie/colle le contenu du rapport situé dans C:\vundofix.txt ici-même Copie/colle le contenu du log de l'outil SDFix, c'est-à-dire le fichier Report.txt dans ta prochaine réponse également, en plus d'un nouveau log HijackThis! Courage, et @+

Salut cesar56, et coucou Bruce Cesar : le fichier que Bruce te demande devrait se trouver directement sur le C:\, et se nomme egd.txt (fichier du Bloc-notes). S'il n'y est vraiment pas, ça veut dire qu'il y a peut-être eu un problème lors du passage de egdaccess.bfu précédemment. Si le fichier n'existe pas, pourrais-tu confirmer que, lors du passage de l'outil BFU, tu as bien eu le message "Complete script execution" ? Sinon ce n'est pas bien grave.. et je vais te demander un autre truc pour vérifier (qui donne le même résultat que le contenu de egd.txt) : Donc si tu ne vois pas le fichier, prière de faire ceci ; - Redémnarre en Sans Échec - Scanne avec HijackThis!, puis sauvegarde le rapport - Redémarre en Normal, puis poste le nouveau log HijackThis! s'il te plait. Voilà @+

Ça se fait très bien par MP Seb, sans problèmes... yomgy et Bruce, je me permets cette intrusion suite aux remarques ^^ Les problèmes en Sans Échec sont causés par Vundo ; ça arrive dans environ 5 à 10% des cas. Il y a effectivement Egdaccess et Vundo >> deux petites pestes... (bien vu pour Egdaccess Bruce ). Seb : c'est Atribune (un seul "t"). ========= Bonne continuation à vous deux.

Rebonjour ; Je me permets une dernière réplique, histoire de conclure. Je suis un peu surpris par la courte réponse de M. Howes, simplement parce que ce module est ciblé depuis déjà un bout. Un petit oubli de sa part, probablement. Ce qu'il faut retenir de tout ça ? Pour ma part, je propose de simplement nuancer nos affirmations. Pas nécessaire de crier "Bestiole !!... Faut la virer !!!", mais juste le faire calmement et expliquer au besoin. Par exemple, si le visiteur se pointe avec une bécane propre et nous demande de faire un petit ménage et que ce module est présent, ben simplement lui dire ce qui en est et de proposer le fix. Tout est dans l'art de communiquer. J'attire ton attention sur deux autres fichiers associés à RealTek : Alcwzrd.exe (composant du pilote - légitime) Alcxmntr.exe (module espion - autre version - indésirable/inutile) Bonnes recherches

Salut Laurent_62 ; Fallait pas te donner tout ce mal pour alcmtr.exe... mais bon, à la limite je comprends. Eric L. Howes n'a pas été plus bavard que ça au sujet de ce fichier ? Étrange. Néfaste ou inutile ? Disons indésirable et inutile. Ce fichier n'est évidemment pas un virus ou un ver, ni un trojan, donc aucun antivirus ne le signalerait. RealTek ont sûrement obtenu un avis légal avant d'inclure un tel module, alors aucun antispyware ne peut se permettre de le détecter ou encore moins le supprimer. Les sites de confiance parlent plutôt d'un fichier indésirable et inutile. Tout à fait inutile, donc pas d'inquiétude quand on le vire. Pourquoi le virer ? Qui veut d'un module espion sur sa bécane ?.. qui rapporte on ne sait quoi de nos habitudes de surf, et dans quel but ? Qui peut accéder à ces informations ? Question de vie privée, de fermer une porte ouverte inutile et douteuse, qui te bouffe de la bande passante en prime. Pas de dysfonctionnements associés à la suppression, et un bon service rendu au visiteur. C'est tout. Aucune action légale de la part de RealTek face à tous ces sites accusateurs, donc ça me démontre le caractère très limite de ce module. Si ta conscience t'empêche de fixer ce truc librement, tu peux toujours en informer le visiteur et lui laisser le choix - vire ou garde. Je sors.

Salut Jack !!!!! Content de te revoir !! J'espère que tout va bien, et que tu as quelques heures pour regarder le grand match de 1/2

Salut Q !! Content de te lire ! Notre ami Jack sera absent pendant quelques mois ; il est en formation intensive et nous reviendra quand il le pourra. L'utilitaire que tu nous proposes est parfaitement adapté aux problèmes de connectivité qui peuvent être associés à une fausse manip lors de la désinstallation de New.Net - bien vu ! Si tu regardes la 2ème méthode proposée par Jack ; il nous parle de LSPFix qui, lui aussi, est conçu pour palier à ce genre de problème (Winsock abimé, donc perte de connectivité). Dans de rares cas, mais ça arrive, LSPFix ne peut faire la réparation voulue, alors l'utilisation d'un autre outil tel WinsockFix peut être nécessaire en effet. Certains préfèrent prescrire l'un plutôt que l'autre, mais de façon générale, les deux font le boulot. Il en existe un autre, nommé WinsockXPFix (par Option^Explicit également - créateur de KillBox ) qui était différent du premier... Je viens de regarder les deux versions, qui portent des noms différents, mais qui sont identiques une fois lancées ! Je me tais maintenant @+

Super Ben sauf pour les plantages... J'espère que l'installation du SP2 ira en douceur. Pour guard.exe d'Ewido ; pas de soucis, il se lance au démarrage sans avoir besoin du prog principal (ewido.exe). C'est le bouclier qui fonctionnera pendant 30 jours. Tu peux le désactiver simplement en faisant un clic-droit sur l'icone d'Ewido près de l'horloge, puis décoche "Resident Shield". S'il ne te cause pas de soucis, tu peux le laisser en fonction Je dois toujours te poster des conseils de sécurisation/prévention, mais j'attendrai que tu aies fait les MAJs de Windows. @ bientôt..

Bonjour jeje78 Oki, pour tes questions : 1) MNSec est effectivement une bestiole >> bravo pour ton oeil vif Le service est désactivé, alors nous ne pouvions le voir. Pas liée à Look2Me par contre. On s'en occupe... 2) l2mfix.bat manquant ? Bizarre... car l'outil a bien fait son travail. Je suppose que VIGUARD ait quelque chose à voir avec ça. De toute façon, tu n'as plus besoin de l'outil, alors prière de supprimer le dossier l2mfix, ainsi que le fichier l2mfix.zip 3) smss.exe est stoppé par l2mfix durant ses opérations de nettoyage, mais est relancé au redémarrage (processus système nécessaire). Si tu regardes le rapport à nouveau, tu constateras qu'il en fait de même avec explorer.exe, winlogon.exe et rundll32.exe (tous des processus système stoppés par l'outil). Si tu consultes tes rapports HijackThis!, tu verras que rundll32.exe était bien lancé dans les premiers, mais pas dans le dernier, car seule l'infection s'y accrochait... Mais il est légitime, et utilisé par d'autres applications à un certain moment. Un petit commentaire important : j'ai consulté une experte/développeur suite à l'échec des deux premiers outils, juste pour m'assurer de bien poursuivre. Mon plan de match était tracé, mais je voulais le valider. Elle connait Look2Me mieux que quiconque, et a été très surprise par la résilience de la bestiole... du jamais vu. Le premier outil aurait dû fonctionner. Le deuxième aussi... Ce qu'elle me dit (et ça confirme mes soupçons), ben c'est que Windows doit être partiellement corrompu. Si tu pouvais installer le SP2, ça risquerait d'aider car les fichiers système vitaux seront remplacés. Si tu ne peux installer le SP2, ben y faudra surveiller pour des signes d'instabilité et, ultimement, formater le DD et réinstallé Windows. Mais si tout semble aller pour l'instant, tant mieux ======================== Pour la bestiole qui dort maintenant : Clique sur le bouton "Démarrer" >> "Exécuter" et tape ceci dans la boîte : cmd Clique sur "Ok" Dans la fenêtre d'invite, tape ces deux lignes (ci-bas) puis valide avec [Entrée] après chacune: sc delete MNSec [Entrée] exit [Entrée] Avec l'Explorateur Windows, recherche et supprime ce fichier, s'il existe toujours : C:\WINDOWS\system32\mnsec.exe << Voilà ~~~~~~~~~~~~~~~~~~~~~ Pour VIGUARD : programme bien spécial celui-là... Il semble bon, d'après mes recherches. Il utilise une technologie différente des autres grands antivirus. Lui, il analyse le comportement des fichiers - sans mises à jour nécessaire, alors que les autres se servent de signatures virales afin de comparer et de détecter les bestioles (mises à jour fréquentes nécessaires..). Tu peux le conserver. Semblerait que son paramétrage est assez pointu par contre, et que s'il n'est pas bien fait, le prog se transforme en passoire... Aucun antivirus ne peut tout stopper par contre, et ta soeur aurait peut-être subi le même sort avec un autre antivirus. Où a-t-elle chopé ces bestioles ? Bonne question.. La plupart du temps, ce sont via des cracks ou bien des p'tits freewares infectés. Les sites de cracks/Warez sont également capables d'infecter simplement en les surfant. Des fichiers téléchargés par Peer-to-peer aussi, ou bien un message instantané/email piégé. La prudence lors du surf demeure le meilleur moyen de prévention Dis-moi comment tourne la bécane, puis je posterai quelques conseils de prévention/sécurisation supplémentaires. @+

Bon vendredi Désolé pour hier ; le temps me manque. J'ai regardé vite-vite l'autre discussion, mais je ne pourrai pas m'y coller. Par contre, rien de néfaste à première vue.. Un autre conseiller pourra te guider. Pour la bécane de ta soeur maintenant : =========================== Nous allons supprimé plusieurs outils dont tu n'as plus besoin. Ces outils sont pointus, spécialisés et nécessitent une supervision stricte, donc il pourrait être dangeureux de les conserver. Ces outils ne se désinstallent pas via le Panneau de Config, alors prière de supprimer ceux-ci : - Look2Me-Destroyer - BlackLight - f-look2me - Silent Runners - The Avenger (très important de le supprimer celui-là...) Conserve l2mFix pour l'instant, car nous allons l'utiliser une dernière fois pour réparer les clés de registre liées à l'infection, ainsi que ce fameux SeDebugPrivilege. Conserve également Ewido ; celui-ci t'offre un bouclier est des mises à jour auto durant les 30 jours d'essai. Après les 30 jours, si tu n'achètes pas la licence, tu conserves tout de même le scanneur (qui est excellent..) et tu peux faire les MAJs à partir du prog - manuellement. Pour Viguard : je dois faire quelques recherches, et je t'en reparle. ================================= Allons-y pour les dernières réparations : Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : --------------------------------------------------------------- R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\lv6s09j7e.dll (file missing) O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\o0480ahued480.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) --------------------------------------------------------------- Ferme toutes les autres fenêtres actives (sauf HijackThis!) et clique "Fix checked". Ferme HijackThis! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". Poste le rapport de l2mFix, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. @+

Ben...là c'est bon igfxsrvc.dll est légitime Le premier fichier qui apparaît dans la liste d'Avenger n'était pas présent, donc le tool ne l'a pas trouvé. Les autres par contre ont été détruits, et Look2Me aussi. Je dois filer, sans pouvoir terminer les manips (pour l'instant...). Il ne reste que du petit nettoyage, et je m'y mettrai dans quelques heures. Beau travail !! ..et à très bientôt pour la suite.

Merci pour le rapport L'outil que je te suggère ci-bas est puissant, alors prudence et prière de suivre les directions à la lettre. ======================= 1. Télécharger The Avenger par Swandog46 sur votre Bureau. Click sur Avenger.zip pour ouvrir le fichier Extraire avenger.exe sur votre bureau 2. Copier tout le texte de la boîte ci-dessous (sans inclure le mot "Citation") : mettre en surbrillance et appuyer sur les touches(Ctrl+C): Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau. Sous "Script file to execute" choisir "Input Script Manually". Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V). Cliquer Done ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script Répondre "Yes" deux fois quand demandé. 4. The Avenger va automatiquement faire ce qui suit: Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.) Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip. 5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE N'hésite pas à poser des questions si tu es embêté. Bon courage @+

Bon Jeudi ! Alors voici l'étape ultime pour Look2Me. Étant donné que le (les) fichier infectieux mute après chaque démarrage, il sera important que tu ne redémarres pas l'ordi avant d'avoir reçu mes prochaines instructions. Je te demande donc un nouveau scan avec l'outil l2mfix (option #1 seulement !) afin de repérer les fichiers, et je pourrai donc préparer le fix convenablement. =================== Ouvre le dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Donc pas de redémarrage avant de lire mon prochain post @+

Très bonnes questions/observations Le problème : VIGUARD n'est pas bien connu dans le monde des antivirus, donc je ne connais pas ses comportements et caprices. D'après tes observations, il semble très aggressif, effectivement ! Pourrait-il nous nuire ? On verra... Je voulais également te signaler que Look2Me est présent sur ton ordi depuis le mois de Février... Tu dois avoir des popups depuis tout ce temps donc. Spy Sweeper, et maintenant Ewido nous montre d'autres infections très "méchantes" également. Lorsque de telles infections prennent résidence sur une bécane pendant des mois, elles peuvent parfois abimer le système assez sérieusement... Je ne baisse pas les bras par contre, et te posterai de nouvelles directives dès que possible

Ouff... Il est vraiment coriace ce Look2Me Je dois consulter à nouveau, et posterai de nouvelles instructions dès que possible. Merci pour ta patience Sujet chaud ? Ouaip...

Bonsoir ! et désolé pour ce petit délai. Merci pour ces informations, et pour le rapport de Silent Runners. Voici la suite : ============ Télécharge Ewido anti-spyware Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful" Ferme Ewido. Ne pas le lancer tout de suite. Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient. Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit. Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple). Redémarre ton ordi en mode Normal. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge f-look2me.zip de ce lien : http://www.f-secure.com/tools/f-look2me.zip - Dézippe (extrait) le contenu de f-look2me.zip sur ton Bureau. - Lance f-look2me.exe - Redémarre en mode Normal lorsque complété. - L'outil génère un rapport : prière de poster son contenu. Poste le rapport de f-look2me, le rapport d'Ewido ainsi qu'un nouveau rapport HijackThis! s'il te plaît. Bon succès

Resalut Bon, ben on oublie BlackLight pour le moment, car c'est Look2Me qui retire ce fameux SeDebugPrivilege (nécessaire à l'outil). Pas grave pour Spy Sweeper. On passe un autre détecteur: =================== Télécharge SilentRunners du lien suivant, et sauvegarde-le sur le Bureau: http://www.silentrunners.org/Silent%20Runners.zip Extrait le contenu (fichier) sur le Bureau . Double-clique sur le fichier "silentrunners.vbs" : une fenêtre va s'ouvrir ,clique sur "Oui". **Note : si ton antivirus ou autre programme résident t'averti qu'un script tente d'être lancé, accepte. Un rapport sera généré sur ton Bureau (Startup Programs) ; copie/colle le rapport dans ta prochaine réponse. Et deux petites question : 1) As-tu le CD pour XP ? 2) Avec l'Explorateur Windows, trouve ce fichier : C:\WINDOWS\regedit.exe >> Ne double-clique pas dessus, mais place ton curseur de souris dessus et une info-bulle va apparaître ; dis-moi si tu vois quelque chose semblable à ceci: Ta version de fichier sera différente vu que tu n'as pas le SP2. @+

Ok... L'infection est toujours active, et semble bien protégée. Nous allons devoir pousser les recherches. La ligne dans HJT qui pointe vers Look2Me est celle-ci (de ton dernier rapport): O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\azau05d9e.dll Si tu regardes les logs précédents, tu verras cette ligne avec nom de clé et nom de fichier différents ; normal avec cette infection. Spy Sweeper a réussi à voir d'autres bestioles cachées, mais n'a pu tout nettoyer, et Look2Me survit. Avec quelques recherches, nous trouverons le(les) responsable =========================== Lance HijackThis! Clique sur le bouton Open the Misc Tools section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surle bouton Generate StartupList Log Clique sur "oui" lorsque l'on te le demande. Cela va générer un rapport texte ; sauvegarde-le sur ton Bureau. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Colle le rapport de BlackLight, ainsi que celui du StartUpListLog dans ta prochaine réponse.

Resalut Ben là c'est vraiment étrange... Le tool tourne bien et détruit apparamment l'infection ; ton rapport HijackThis! démontre que l'infection semble toujours active par contre. Jamais vu ça avant !! Hop, un autre outil !! (il m'en reste quelques uns.. ) : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/consumer/products/s...ode=af1&rc=3597 Clique sur "Download the trial". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Colle le rapport de Spy Sweeper, ainsi qu'un tout nouveau log HijackThis! dans ta prochaine réponse

Hmmm... Ok, ben effectivement ce n'est pas le rapport que j'espérais. Pas grave, car de toute façon l'infection est toujours présente et il faut poursuivre. Je te reposte la dernière manip, à faire avec l'outil L2MFix (et non avec Look2Me-Destroyer). Le rapport apparaît habituellement à l'écran après le redémarrage - et non en tant que fichier sur ton Bureau. Je te dirai où trouver le rapport si celui-ci ne s'affiche pas tout seul. Voici : Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". ========================== Tel qu'indiqué dans la procédure, le rapport devrait s'afficher au redémarrage. S'il ne s'affiche pas, alors va le trouver dans le dossier l2mfix (qui est sur ton Bureau) ; le rapport se trouvera dans le fichier nommé log.txt. Poste un nouveau log HijackThis! également. Merci.. @+

Très bien ! Maintenant, il ne reste plus qu'à nettoyer Je vais te faire enlever un autre trojan avant d'attaquer Look2Me cette fois-ci : ======================= Prière d'imprimer ces instructions, ou de les coller dans un fichier du Bloc-notes pour lecture en mode Sans échec. Redémarre ton PC en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne : O4 - HKLM\..\RunServices: [NeroFil] NeroFil.EXE Clique sur "Fix checked", puis ferme HijackThis! Avec l'Explorateur Windows, recherche et supprime ce fichier (si trouvé): C:\Windows\System32\NeroFil.EXE << Redémarre en mode Normal. ~~~~~~~~~~~~~~~~~~~~~~~~~~ Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". À bientôt..

Bonjour jeje78 Merci pour ces rapports ! Look2Me-Destroyer n'a pas fait le travail, alors nous allons faire tourner un autre outil: ==================== Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin. @+ pour la suite