Mark

Bonjour Pitcat, Sylesis ; La bécane me semble bien infectée : O4 - HKLM\..\Run: [MCI driver32] driver32.exe >> Lire O4 - HKLM\..\Run: [MSLog] MicrosoftLog.exe >> Lire ...et j'en passe.. Tu devrais suivre les conseils de Pitcat

Bonjour tout le monde Je viens tout juste de survoler la discussion. Au sujet de MailSkinner : malheureusement, il est pas gentil... et il est souvent (sinon tout le temps) le responsable de l'infection Egdaccess.. Metallica l'a même inclus dans son script Egdaccess.BFU afin de le désinstaller. Si aucun signe d'infection ne persiste, ben Mailskinner peut être désinstallé par "Ajout/Suppression de programmes", et le dossier peut être viré complètement.. @+

Salut Jean-Pierre Pas de soucis de ce côté ; Ewido est un anti-trojans/spywares, donc aucun conflit avec un antivirus

Bonsoir tout le monde ; Mystmax : si tu as réussi à scanner avec HijackThis!, alors tu peux joindre le log (fichier txt) à ton post ici (regarde au bas de la fenêtre lorsque tu postes..) Edit : ça va... oubliez mon post..

Je m'en occupe... et je vais tenter de tout poursuivre ici, autant que possible Je vais également demander la fusion des deux discussions.. À suivre !

Salut Caliway , et bon Dimanche tout le monde ; Ok, y a quelques lignes à fixer, rien de grave, et deux petits trucs à essayer : Lance HijackThis! avec "Do a system scan only" et coche ces lignes : R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/...rch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/...://my.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe Avec seulement HijackThis! qui tourne (ferme les autres applications), clique "Fix checked". Ferme HijackThis! ================ Je veux maintenant te proposer un petit test : Chez moi, sur ma vielle bécane, Spy Sweeper me ralenti énormément le démarrage d'IE lorsque les boucliers sont en fonction... donc fais un clic-droit sur l'icône de Spy Sweeper près de l'horloge, et désactive-le. Ferme et ouvre IE juste pour voir... Autre petit truc : tu as PopUp Stopper Free Edition qui tourne ; avec IE6 (SP2), t'en as pas besoin, car IE a son propre bloqueur qui fonctionne assez bien. Désinstalle-le, et ça pourrait t'en redonner en vitesse également. J'attends les résultats

Bonsoir Caliway, Charly (ou Charlou ), et bonsoir tous/toutes ; Y a un p'tit truc qui m'énerve ; ces foutus msclock32.dll et msplock32.dll... Y a du Egdaccess là-dessous.. Il doit être bien incrusté, car il ne s'est jamais manifesté. Caliway, je te propose ceci (petits progs, donc pas trop lourds pour ta connexion..lol..) : Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. C'est très rapide. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. Il ne génère aucun rapport. Redémarre en Normal, et poste un nouveau rapport HijackThis! dans ta prochaine réponse. Dis-nous si tu constates une amélioration ? @+ tard

Charly ! Je peux ? LOL... grillé... Faites abstraction de ce post s'il vous plaît..

Charly, et bonjour à tous ; Juste une petite précision pour HaxFix : ...ne pas inscrire lanH32, mais bien lanH (sinon le tool ne tournera pas). Je crois qu'un p'tit coup de SmitfraudFix ferait un grand bien également, mais après HaxFix bien entendu. pomdepin ; désolé pour la confusion !! Débute avec les instructions de Charles_Ingals, puis on verra

Regis56, et bonjour nettoyantlunettes ; Juste une petite remarque : je crois que sous Win98, il n'y a pas d'onglets disponibles sous le Gestionnaire des Tâches (ni "Processus", ni autres...) Bonne continuation

Charly !! Tout à fait d'accord avec toi La chasse aux rootkits par ce beau weekend ?? desafinado : en postant ton prochain rapport, pourrais-tu nous dire si tu as éprouvé des difficultés à mettre IE à jour ? Tu tournes avec IE5... @+

Tornado, et resalut Bibi26 Je vois Carpe Diem également... Va falloir le virer celui-là également. J'ai récemment vu un fix ou la O4 ne voulait pas quitter... celle-ci : O4 - HKCU\..\Run: [updater] C:\Program Files\Carpe Diem\Britney\CDUpdater.exe CD_UPDATER On l'aura avec un regfix s'il le faut

Zut... j'avais oublié de revenir voir... Le rapport HijackThis! montre que LOP est toujours là. Ewido nous montre des signes de NaviPromo (Egdaccess), qui peut être incrusté philduke : tu peux nous coller un nouveau rapport HijackThis!, et nous dire comment ça va ? Merci..

Cé bon Bonne continuation à vous deux

Bonjour philduke, et bonjour bibi26 La procédure est bonne ; il manque juste un petit truc. Une ligne O4 nous indique une infection par LOP : O4 - HKLM\..\Run: [Part Lies Fork Cake] C:\Documents and Settings\All Users\Application Data\wave okay part lies\up dupe.exe ...que bibi26 avait bien vue. La première chose à faire avec cette infection, lorsque Messenger Plus! est présent (et donc coupable de l'infection, avec le Sponsor installé...), ben c'est de le désinstaller complètement, ce qui peut détruire l'infection d'un coup. Ça ne fonctionne pas toujours, mais c'est plus simple que de se battre avec LOP pendant 4 ou 5 posts. Ne t'en fais pas philduke, tu pourras réinstaller Messenger Plus! sans le sponsor lorsque ton PC sera propre. Donc, simplement ajouter ceci à l'étape 4) : - Désinstalle complètement Messenger Plus! ainsi que le Sponsor. **Quelques notes additionnelles : - Ces lignes O1 semblent légitimes ; les IPs sont privées et ne semblent pas mauvaises. - Les lignes O16 peuvent demeurer ; elles ne sont pas méchantes, et philduke aurait de gros contrôles ActiveX à télécharger à nouveau. Pas dangeureuses à fixer, mais désagréables lorsqu'un programme les demande et qu'elles n'y sont plus. C'est ok pour le reste

Je suis heureux d'entendre ça !! Oui, tu peux virer ce fichier sans problème. Surfe pendant quelques jours, puis viens nous dire comment ça va ? Le temps me manque, mais je reviendrai te poster des consignes de sécurité un peu plus tard. Y a pas de quoi

Salut Jean Philippe Panda nous montre un p'tit fichier récalcitrant, alors on va lui faire la barbe ! Afin de bien voir les fichiers cachés, fais ceci : - Lance l'explorateur Windows (clic-droit sur "Démarrer" >> "Explorer") - Clique sur le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" - Coche "Afficher le contenu des dossiers système" - Coche "Afficher les fichiers et dossiers cachés" - Déchoche "Masquer les extensions des fichiers dont le type est connu" - Clique "Ok" Recherche et supprime ce fichier : C:\WINDOWS\SYSTEM32\iulevk_nav.dat **Si le fichier refuse de partir, vire-le en Sans Échec. Ok, tu peux essayer IE maintenant Surf un peu avec, et dis-nous comment ça se passe. Au pire, on aura un peu de désinfection à faire, si la bestiole se pointe à nouveau... pas grave... on va l'avoir !! @+ tard

Ouff ?? HAHA... Effectivement... Ben je crois que tous tes efforts ont porté fruit ! Avec Egdaccess, faut jamais crier victoire trop rapidement... alors je vais te faire passer un petit scan en ligne avec Panda, puis on verra. Va sur ce lien : http://www.pandasoftware.fr/Activescan/Activescan.html ..et clique sur "Analysez votre PC". Accepte l'installation du contrôle ActiveX, et fournis les infos demandées. Scanne les disques locaux, et sauvegarde le rapport. Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis! (régulier) dans ta prochaine réponse. Et dis nous si tu as toujours des dysfonctionnements avec la bécane.. Je ne peux être en ligne que quelques minutes par jour, d'ici Dimanche prochain, alors je ferai de mon mieux pour assurer le suivi Beau travail...

C'est parfait Jean Philippe ; merci pour ces rapports Nous allons maintenant nous battre contre Egdaccess/Instant Access, ce qui risque de nécessiter quelques posts... pas grave, on est là pour ça Prière de coller ces instructions dans un fichier texte, car tu ne pourras pas consulter ce site (ou surfer) en mode Sans Échec. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1) Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. On l'utilisera plus tard. ================ 2) Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). On l'utilisera plus tard également. ================ 3) Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie tout le texte en gras ci-bas (sélectionne-le, clic-droit et "Copier") : C:\windows\system32\iulevk.exe C:\windows\system32\iulevk.dat C:\windows\system32\iulevk_nav.dat C:\windows\system32\iulevk_navps.dat C:\windows\system32\msclock32.dll Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. ***Note : au redémarrage de KillBox, prière de redémarrer en mode Sans Échec, et voici comment : au démarrage, tapote immédiatement la touche F8. Tu verras un écran avec choix de démarrages apparaître ; avec les flèches du clavier, choisis "Mode sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. ================= 4) Du mode Sans Échec, lance Hijackthis.exe (version Anglaise ou Française), puis clique "Do a system scan only", et coche cette ligne : O4 - HKLM\..\Run: [iulevk] c:\windows\system32\iulevk.exe iulevk Clique sur "Fix checked" et ferme HijackThis! ================= 5) Toujours en mode Sans Échec : Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Cette opération est rapide, et aucun rapport n'est généré. Clique Exit pour fermer le programme BFU. ================= 6) Lance Ewido et clique sur Scanner puis sur Scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. ================= 7) Redémarre en mode Normal. Refais un nouveau both.log avec HijackThis + Extra, et poste-le ici dans ta prochaine réponse, avec le rapport d'Ewido également. Bon courage

Coucou Did71, et salut Jean Philippe ; Désintalle la version de Spy Sweeper que tu viens de télécharger, car Webroot viennent d'y retirer la version d'essai gratuite... Ok, étant donné qu'Instant Access a été détecté, on va réajuster le tir. Je dois te faire passer un outil spécial qui se sert de HijackThis! version originale Anglaise. Créé u nouveau dossier >> C:\HJT Télécharge la version originale de HijackThis! de ce lien : http://www.merijn.org/files/hijackthis.zip ...et dézippe-le dans le nouveau dossier (C:\HJT) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Lorsque tu auras posté le rapport de Spy Sweeper, attaque tout de suite cette prochaine étape : Télécharge HijackThis! + Extra de ce lien : http://metallica.geekstogo.com/setuphjt.exe Sauvegarde le sur ton Bureau. Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT Double-clique sur le raccourci HJT and More, puis double-clique ht.bat Une fenêtre DOS apparaîtra; Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible. Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite). ====================== Cela te fait donc deux rapports à poster, dans deux réponses différentes (et successives). @+ tard

Bonjour sophie2, Bruce ; Je vais être absent pour une semaine et +, alors je me balade un peu, à la recherche d'infections particulières où je peux aider un brin... Sophie : cette détection de msdirectx Trace.Registry.Aimbot est très significative. Il s'agirait d'une variante de virus "Aim", qui sont très coriaces (avec technologie Rootkit >> qui masque et protège les infections). Fais la procédure préliminaire, puis je te suggère ceci : Télécharge AimFix (de JayLoden) de ce lien : http://www.jayloden.com/AIMFix.exe ..et sauvegarde-le sur ton Bureau. Lance-le (double-clique), et laisse-le faire son travail. Redémarre lorsque terminé. Il devrait générer un rapport >> fichier nommé Aimfix.log (qui devrait être sur ton Bureau). Copie/colle le contenu de ce rapport ici, avec un tout nouveau rapport HijackThis! s'il te plaît. Bon succès

Charly, bonjour Liegeois, bonjour caliway ; Spy Sweeper n'émet pas souvent ce genre de détection, et quand il le fait, ça m'inquiète un peu !! caliway : par définition, un rootkit masque une infection (et la masque très bien..). Avant de partir à la chasse, peux-tu nous dire si le PC a des dysfonctionnements ? et je parle surtout de "popups" qui pourraient nous éclairer. Si tu as des pubs intempestives (popups), note leurs noms et provenance si possible... et merci !

Salut Forcat ; Content d'apprendre que SmitRem a fonctionné pour ton frère. Nous connaissons bien ce programme, et il y en a un autre, créé par un développeur d'ici (S!Ri), qui se nomme SmitfraudFix. Tous deux sont excellents pour ces infections, et nous en avons vu et traité des centaines sur les forums Sécu... L'auteur de SmitRem prescrit une procédure complète, qui inclus Ewido et Panda ActvieScan par contre, car l'outil ne peut souvent pas tout attrappé. Nous sommes ici pour cela Forcat, et la procédure que t'a proposée Jack Burton fait souvent un grand bien, et aide pour la suite d'une grosse désinfection. Si le PC n'a plus aucun problème résiduel suite à cette infection, ben tant mieux, et "bonne route"

Salut Lyd Ben à ma grande surprise, ton rapport est propre !! Il n'est pas dit que l'infection ne refera pas surface, mais je pense qu'elle est au tapis cette fois-ci. Autre bonne nouvelle : Metallica (le guru qui a créé le script pour cette infection), a passé le weekend à étudier les nouveaux comportements de l'infection, et il a mis son script à jour puis modifié la méthode un tout petit peu. Nous sommes mieux armés maintenant. Je te demanderais de revenir dans 24-48 heures afin de nous dire comment tourne la bécane (ou avant si problèmes..lol..). Nous pourrons ainsi attaquer à nouveau, si besoin. Nous pourrons également te poster des instructions afin de mieux sécuriser et optimiser ton ordi. Et ce eMule peut te causer bien des soucis... donc je te laisse un lien vers un article créé par notre ami Tesgaz, qui pourra faire la lumière sur ce que font ces programmes Peer-to-peer à nos ordis : http://forum.zebulon.fr/index.php?showtopic=85544 J'attends donc de tes nouvelles

Fantomasse : je croyais pas qu'AimFix produisait un rapport, mais regarde si tu n'as pas un fichier Aimfix.log sur ton Bureau ? Pas grave si y en a pas... Te souviens-tu si l'outil avait détecté quelque chose ?