Mark

Bonjour fantomasse, coucou Tornado Le DOS, c'est pas ma force. Ce fichier, j'aimerais bien le faire analyser par contre : fantomasse ; va sur ce site : http://www.virustotal.com/xhtml/index_en.html ...et clique sur "Parcourir" (au haut) et recherche C:\mnswpr.exe Sélectionne-le et clique sur le bouton "Send" Colle les résultats dans un fichier du Bloc Notes et sauvegarde sur le Bureau. Télécharge AimFix (de JayLoden) de ce lien, et exécute-le : http://www.jayloden.com/aimfix.htm Redémarre (en Normal) après que l'outil aura fait son travail. Poste un nouveau rapport HijackThis! et les résultats de virustotal dans ta prochaine réponse. @+ tard Edit : coucou Charly

Bon Dimanche Lyd Ben c'est vraiment étrange que le BFU ne semble pas fonctionner comme il devrait... Ne t'en fais pas pour ce message d'erreur par contre ; c'est normal avec cette infection. Ok, on va frapper autrement cette fois-ci ; Lance Ewido et mets-le à jour, puis ferme-le (on va le passer en sans échec, bientôt). Colle ces instructions dans un fichier texte, ou imprime-les, car tu ne pourras pas consulter ce post en sans échec. Redémarre en Sans Échec ; lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing) O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1049.dll,InstantAccess O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab Clique "Fix checked" puis ferme HijackThis!. Toujours en Sans Échec, passe Ewido comme ceci: Clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Redémarre en Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau both.log s'il te plaît. Tôt ou tard, on va y arriver

De retour... Ok : le rapport de Silent Runners ne montre rien d'anormal (à part un service), et BlackLight ne voit rien, lui non plus. Ça m'encourage ! Je me demande si ton amie ne se réinfecte pas entre les manips, en visitant un site malicieux ou bien en ouvrant un fichier ou pièce jointe infectée... difficile de diagnostiquer à distance. On continue à leur taper dessus donc Je vais lui faire mettre l'outil eScan à jour, puis elle va le repasser (en Sans Échec). Va falloir imprimer ces instructions avant de poursuivre. Je ne posterai pas les instructions à nouveau, mais je vais vous demandez de suivre les mêmes instructions de ce poste-ci : http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=666983 ...à partir de l'Étape 2, sous-section 2.) ("Double-clique sur le Poste de travail...") Après redémarrage, poste le rapport de eScan, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. On y verra plus clair avec ces rapports tout frais

Merci pour ce rapport Lyd À ma grande surprise, il n'y a pas de processus caché qui a été détecté , mais ça ne nous empêche pas de continuer Modifie ces options afin de bien voir les fichiers/dossiers cachés : - Lance l'Explorateur Windows (clic-droit sur "Démarrer" >> "Explorer") - Clique le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" - Coche "Afficher le contenu des dossiers système" - Active "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique Ok Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en Sans Échec. Redémarre en Sans Échec. Lance HijackThis.exe et clique "Do a system scan only", puis coche ces lignes : O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [MSys32] "C:\Program Files\Morfit\Secret Mission ep1\morfitwebentrance.exe" Ferme toutes les autres fenêtres actives (sauf HijackThis!) et clique "Fix checked". Ferme HijackThis! À l'aide de l'Explorateur Windows, recherche et supprime ce dossier en entier : C:\Program Files\Morfit << ===================================== Redémarre en Normal. Je vais te faire passer un outil pour Vundo, car je veux éliminer la possibilité d'un rootkit qui cacherait cette infection : Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Maintenant, je te demanderais de supprimer le fichier EDGACCESS.bfu qui se trouve dans le dossier C:\BFU Je vais t'en faire télécharger un autre (qui porte le même nom, mais d'un lien différent), et on va repasser le BFU : FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Redémarre après le passage du BFU (en Normal). Poste le rapport de VundoFix (situé dans "C:\vundofix.txt"), ainsi qu'un nouveau rapport both.log (de HijackThis + Extra). À bientôt

Salut Liegeois ; Silent Runners est un programme très pointu, prescrit seulement lorsqu'une infection très coriace et cachée nous embête. L'outil donne souvent des faux-positifs ("INFECTION WARNING"), alors faut savoir comment analyser. J'ai regardé rapidement, ton rapport HijackThis! également, et tu peux dormir en paix. T'es sécurisé et optimisé au max il me semble, alors à moins d'avoir des dysfonctionnement... pas nécessaire de poster des rapports, et surtout pas Silent Runners (qui peut nous prendre plusieurs minutes à analyser...). Ça va ?

Salut Liloute, et merci d'avoir fait remonter ta discussion... Je vois que vous deux avez des soucis avec la version d'essai de ZA ? Alors installez plutôt la version gratos, que vous trouverez ici : http://download.zonelabs.com/bin/free/3301..._737_000_fr.exe Désolé pour l'énorme délai de réponse pour ta copine. Je me suis trop dispersé ces derniers jours. Je poste les prochaines manips d'ici quelques heures. Merci de ton énorme patience...

Salut Jack , et bonsoir skab ; D:\My Shared Folder\3d alien plasma tunnels screensaver 3 crack.zip/3d alien plasma tunnels screensaver 3 crack.exe -> Worm.Bagle.fc ...voilà ton coupable... Je vais te faire passer un outil antivirus, juste pour s'assurer que tout est propre : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec : tapote la touche F8 au redémarrage, puis choisis "Mode sans échec" du menu, avec les flèches du clavier ; valide avec "Entrée" et choisis ton compte usuel (et non Administrateur). Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

Bon Samedi Lyd, et merci de ta patience Tempête ici hier, et activités hors de mon contrôle ont limité mon temps en ligne Ok ; le script que je t'ai fait passer est en essai, et selon les premiers rapports (y compris notre expérience), ce n'est pas au point. Pas grave, car nous avons un autre script et méthode pour déjouer cette infection. Nous devons maintenant aller à la chasse au processus caché ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ton outil HijackThis! doit être déplacé dans un autre dossier, que tu vas créer directement sur le C:, et que tu vas nommer HJT, pour ainsi avoir : C:\HJT Déplace l'outil (hijackthis.exe) dans ce nouveau dossier s'il te plaît. Télécharge HijackThis! + Extra de ce lien : http://metallica.geekstogo.com/setuphjt.exe Sauvegarde le sur ton Bureau. Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT Double-clique sur le raccourci HJT and More, puis double-clique ht.bat Une fenêtre DOS apparaîtra; Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible. Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite). Courage, et à plus tard

Bonsoir Fabfab On te faire du ménage ; réponse dans quelques minutes ! ========================== Assure-toi de bien voir les fichiers/dossiers cachés : lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> "Explorer"), puis clique sur le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" : - Coche "Afficher le contenu des dossiers sytème" - Active le bouton "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique OK et ferme l'Explorateur. Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Démarre ton PC en mode Sans Échec comme ceci : Redémarre l'ordi Tapote immédiatement la touche F8 après le "Bip" Tu verras maintenant une page avec choix de démarrages Choisis "Mode sans échec", puis valide. Choisis ton compte usuel (et non "Administrateur") Lance HijackThis!, clique "Do a system scan only", puis coche ces lignes et clique FIX CHECKED: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [winlog] winlog.exe Ferme HijackThis! Toujours en Sans Échec, lance l'Explorateur Windows, puis recherche et supprime ce fichier, s'il existe toujours : C:\WINDOWS\system32\winlog.exe << **l'orthographe doit être identique ; ne supprime pas winlogon.exe Redémarre en mode Normal. ==================== Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin. Bon succès

Bonsoir Lyd Y a beaucoup de progrès ! Par contre, l'infection Egdaccess est toujours bien là. Je vais te faire reprendre la manip avec le BFU. Ok, assure-toi de bien avoir ces deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (si t'as EGDACCESS.bfu.txt >> pas bon !!). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Ce sera très rapide. Clique Exit pour fermer le programme BFU. Redémarre, puis fais un nouveau scan avec HijackThis! et poste le rapport ici s'il te plaît. Bon courage

Charly (et coucou Tornado ) Oufff... beau travail vous deux !!! Incroyable... Je crois qu'y va falloir aider nos amis VundoFix et L2MFix avec ces rapports multi-infectés... car ils raaaaaament... Bonne continuation

Lyd ; je te propose deux manips qui peuvent sembler complexes à première vue, mais tout va bien aller si tu suis les étapes telles qu'indiquées. Je vais te demander d'imprimer ces instructions, car tu devras démarrer en Sans Échec (un peu plus loin dans la procédure, donc tu ne pourras pas consulter Zeb' - ni naviguer ; tu pourrais également les coller dans un fichier texte si tu préfères. Si jamais tu bloques, ne te gêne surtout pas et pose des questions ======================================== Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous Scriptline to execute copie/colle cette ligne : c:\bfu\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Ce sera très rapide. Clique Exit pour fermer le programme BFU. =================================== Assure-toi de bien voir les fichiers/dossiers cachés : lance l'Explorateur Windows (clic-droit sur le bouton "Démarrer" >> "Explorer"), puis clique sur le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" : - Coche "Afficher le contenu des dossiers sytème" - Active le bouton "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique {b]OK[/b] et ferme l'Explorateur. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau. Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem). Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau"). Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite. Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ; ..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau. Lance le fichier Fixsf.reg (double-clique), et accepte la fusion. - Redémarre en Sans Échec : redémarre et tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages. Avec les flèches du clavier, choisis "Mode sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. - Avec l'Explorateur Windows, recherche et supprime de fichier et dossier : C :\Windows\System32\dxmpp.dll << fichier C:\Program Files\SpyFalcon << dossier - Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED: O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing) O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing) O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZNxdm414YYFR O15 - Trusted Zone: http://*.reliablestats.com O15 - Trusted Zone: http://*.winantispyware.com O15 - Trusted Zone: http://*.winantivirus.com O15 - Trusted Zone: http://*.winantiviruspro.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab Ferme HijackThis! - Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre. Attends que l'outil termine, ainsi que "Disk cleanup". Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt) Lance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent. Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ; - Clique sur Analysez votre PC - Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...) - Choisis le scan des "Disques locaux" - Sauvegarde le rapport généré sur ton Bureau Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse. Prends bien le temps nécessaire, et à bientôt

Bonjour KME Tu parles des deux lignes liées à Avast! ? Ok, cé un p'tit bug avec HijackThis!... Les fichiers existent, mais l'outil ne les voit pas, donc aucun problème de ce côté. Y-a-t-il d'autres dysfonctionnements avec la bécane ?

Salut Lyd, et merci d'avoir lancé ta propre discussion Ok, je dois préparer ton fix, et aller lire un peu avant de le poster. Donne-moi 30 à 60 minutes, et tu auras la suite des instructions. Merci de patienter ! et à tantôt..

Fort probablement une infection Instant Access bien cachée... jasonerina : je vais te demander de déplacer hijackthis.exe dans ce nouveau dossier, que tu dois créer: C:\HJT Je le veux là, car je devrai te faire passer un outil spécial qui requiert ce dossier. Poste un nouveau rapport HijackThis! lorsque ce sera fait. Merci

Merci Liloute Bon, ben aol7.0 n'est plus là, et les clés Legacy trouvées ne sont pas dangeureuses. Par contre, windows antivirus a réapparu et windows cdrom se pointe... Je vais lui faire passer un scan avec Silent Runners, puis un autre avec BlackLight : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge SilentRunners du lien suivant, et sauvegarde-le sur le Bureau: http://www.silentrunners.org/Silent%20Runners.zip Extrait le contenu (fichier) sur le Bureau . Double-clique sur le fichier "silentrunners.vbs" : une fenêtre va s'ouvrir ,clique sur "Oui". **Note : si ton antivirus ou autre programme résident t'averti qu'un script tente d'être lancé, accepte. Un rapport sera généré sur ton Bureau (Startup Programs) ; copie/colle le rapport dans ta prochaine réponse. ===================== Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ~~~~~~~~~~~~~ Courage...lol !!

Resalut Lyd ; Clique sur ce lien : http://forum.zebulon.fr/index.php?act=post&do=new_post&f=51 ..et débute ta nouvelle discussion s'il te plaît. Comme titre, indique "Infectée par SpyFalcon et Instant Access" Poste un nouveau rapport HijackThis! (tout frais), et laisse tomber pour AntiVir (pour le moment..). Merci.

Ok, je vais m'efforcer de simplifier les explications Premièrement, tu dois créer un nouveau dossier directement sur le lecteur C:, et nomme-le HJT ; voici comment : - Double-clique sur le Poste de travail, et ensuite sur le lecteur C: - Dans la grande fenêtre ou apparaîsent les dossiers, pointe ta souris sur un espace blanc (vide), fais un clic-droit et choisis "Nouveau" >> "Dossier". Nomme le dossier HJT et valide en appuyant sur "Entrée" Maintenant, tu dois déplacer l'outil HijackThis! dans ce nouveau dossier. Retrouve l'outil (hijackthis.exe), puis copie/colle-le dans ce dossier. Prochaine étape : Télécharge HijackThis! + Extra de ce lien : http://metallica.geekstogo.com/setuphjt.exe Sauvegarde le sur ton Bureau. Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT Double-clique sur le raccourci HJT and More, puis double-clique ht.bat Une fenêtre DOS apparaîtra; Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible. Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite). Si ça ne va pas, n'hésite pas à poser des questions

Salut p.ti-titi, et bienvenu sur Zeb' Sécurité J'analyse ton rapport : réponse bientôt !

Coucou Charly , Tornado, fantomasse, bonsoir tout le monde ; Charly, je crois que Look2Me est parti. Ce qui s'est passé au début, c'est que Look2Me empêchait VundoFix de faire son travail (selon ce que je vois ailleurs). Repasser VundoFix devrait nous débarrasser de ces fichiers dll de Vundo qui collent... Fantomasse : essaie VundoFix à nouveau. Tu peux également passer Look2Me-Destroyer afin de s'assurer que L2M n'y est plus

Salut Bruce, Stonangel , Tangui, bonsoir à tous/toutes ; Bruce : question plus que pertinente... et je suis un peu déchiré ! Les deux outils sont excellents. L2MFix semble ramer un peu avec logs multi-infectés ces jours-ci, et nécessite deux posts pour le nettoyage. L'outil d'Atri se lance et nettoie en un seul post, et c'est pour cette raison que je l'ai prescrit ici, car Tangui ne fait pas les manips sur sa propre bécane, donc faut que ce soit "rapide". Tu peux donc choisir ton outil Bruce

Bonjour les amis(es) Modos Tangui : ton amie a chopé un p'tit coriace ; cette ligne O20 c'est Look2Me KillBox n'y peut rien. Nous avons des outils qui font le travail par contre, dont un tout frais d'hier (d'un copain Canadien). Pour les O15, on passe un petit script afin de restaurer le tout. ================================== Télécharge DelDomains.inf sur ton Bureau, à partir de ce lien : http://www.mvps.org/winhelp2002/DelDomains.inf - Fais un clic-droit sur ce fichier, et choisis "Installer". Le script s'installe silencieusement. **Si jamais ta copine utlise FireFox pour télécharger ce fichier, la méthode est différente qu'avec IE : elle doit faire un clic-droit sur le lien ci-haut, et choisir "Enregistrer la cible sous..", puis sauvegarder le fichier sur le Bureau. Clic-droit et "Installer". ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes au bas, avant de débuter. Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau. Ferme toutes les fenêtres actives avant de passer à l'étape suivante. Double-clique Look2Me-Destroyer.exe afin de lancer l'outil. Coche Run this program as a task Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal. Lorsque le scan termine, clique sur le bouton Remove L2M Un message Done Scanning apparaîtra, clique OK. Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK. Ton PC va maintenant s'éteindre. Démarre ton PC normalement. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. *Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau. **Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte. ***Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32. http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX ======================================================================= Il reste une autre peste dont on devra s'occuper, mais on le fera après. Celle-ci : O4 - HKCU\..\Run: [f0s8RWbnh] dmiskrnl.exe >> le fichier se retrouve dans System32, et il est possible qu'il mute à chaque démarrage. On verra... J'attends le prochain rapport HijackThis! Bon succès

Salut Gof, et merci lyd91 : non seulement t'as chopé SpyFalcon, mais tu as également une autre infection très coriace (Egdaccess/Instant Access). Suis les directives de Gof, et lance une nouvelle discussion

Salut Liloute Pour la restauration système... Moi, perso, je la laisse intacte jusqu'à la toute fin. Toutes les compagnies d'antivirus et même Microsoft nous disent de la désactiver dès qu'un virus est détecté ; je ne le fais pas, parce que si un fix tourne mal, tu peux toujours "restaurer" avec un point infecté, et on nettoie à nouveau. Si ta restauration est vide, ben ça peut finir en formatage. De tels cas sont extrêmement rares par contre.. donc le risque associé à la désactivation durant un fix est très mince. Moi, je joue d'extrême prudence... Je vais te faire passer RegSearch, comme l'a fait Charly précédemment , lorsque vous aurez terminé avec mes manips du poste précédent (suppression du Service, KillBox et Spy Sweeper). - double clique sur RegSearch.exe - copie colle l'entrée en bleu dans la première ligne de la zone de recherche: aol7.0 - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Tu colleras donc les résultats de RegSearch, le rapport de Spy Sweeper et un nouveau rapport HijackThis! dans ta prochaine réponse. Merci..

Salut S.Birkoff , et bonsoir Liloute Incroyable... mais vrai !! Il est revenu ce winlogon... Les fichiers de Vundo ne semblent pas actifs, donc VundoFix n'y verrait rien (je crois..). Je vais tenter une dernière manip conventionnelle, et ensuite on partira à la chasse aux rootkits, si nécessaires. Ok Liloute, voici la suite : En mode Normal : "Démarrer" >> "Exécuter" >> tape cmd et clique Ok - Tape ces deux lignes, en validant avec "Entrée" après chacune : sc stop aol7.0 [Entrée] sc delete aol7.0 [Entrée] exit [Entrée] Lance KillBox : - Coche "Delete on Reboot" - Colle ceci dans la boîte "Full Path of File to Delete" : C:\windows\winlogon.exe - Clique le bouton Kill - Réponds "Yes" à la question "Would you like to reboot now ?" Lorsque redémarré, lance HijackThis! et fixe cette ligne, si elle existe toujours : O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\windows\winlogon.exe ...possible qu'elle affiche "(file missing)" à la fin. =============================== Passe un nouveau scan avec Spy Sweeper, et sauvegarde le rapport. Poste le rapport ici, avec un nouveau rapport HijackThis! Dis-nous également s'il y a des dysfonctionnements avec la bécane (popups, erreurs, etc..). Gros canons à la prochaine étape, si nécessaire