Mark

Merci Sandra ; c'est exactement ce que je voulais Je vais devoir analyser et fouiller un peu, donc je reviendrai un peu plus tard (aujourd'hui). @+

Resalut Pitcat Wow... rien trouvé avec Kaspersky, sur "Extended Database" en prime !! Moi je dirais que tu n'as vraiment rien d'infectieux sur ta bécane ! Es-tu satisfait de la petite enquête ? Moi si..

Ok... donc je vais devoir sortir un autre outil ! Allons-y... Imprime ces instructions, ou colle les dans un fichier texte pour lecture en mode sans échec. Télécharge les programmes suivants ; ne pas les lancer tout de suite !: * rdrivRem.zip Dézippe-le sur ton Bureau. Lance Ewido et fais sa mise à jour. Ferme le programme pour l'instant. * CleanUp! Sauvegarde-le sur ton Bureau. Redémarre en mode Sans Échec. 1.) Ouvre le dossier rdrivrem et double-clique sur rdrivRem.bat pour lancer le programme - suis les instructions à l'écran. Une fois terminé, un fichier rdriv.txt sera créé dans le dossier rdrivRem. 2.) Lance Ewido et laisse-le tuer tous les fichiers infectés. Sauvegarde le rapport. 3.) Lance Cleanup! en double-cliquant Cleanup40.exe sur ton Bureau. Installe-le, puis lance le nettoyage. **S'il te demande de redémarrer, clique NO. 4.) Lance HijackThis! et clique sur "Do a system scan only", puis coche ces lignes et ensuite clique sur FIX CHECKED: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R3 - Default URLSearchHook is missing O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing) O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing) Ferme HijackThis!. Redémarre ton PC normalement. 5.) Assure-toi que ton firewall fonctionne normalement, donc aucune boîtes "grises" ou options désactivées. Vérifie pour l'antivirus également (si tu peux activer/désactiver le bouclier résident et faire la MAJ..) 6.) Refais un scan en ligne chez Panda. Sauvegarde le rapport généré par ActiveScan. Poste le contenu du fichier rdriv.txt, le rapport d'Ewido, le rapport d'ActiveScan, et un nouveau rapport HijackThis! (mode Normal) dans ta prochaine réponse.

Ouff... Beaucoup de progrès !! Certains services ont collé, donc on réessaie pour ceux-là : Démarre en Sans Échec, puis clique sur "Démarrer" >> "Exécuter" et tape cmd et Ok ; À l'invite de commande (fenêtre DOS), tape ces lignes et valide avec [Entrée] après chacune : sc stop FAT Defragmentation [Entrée] sc delete FAT Defragmentation [Entrée] sc stop Print Spooler [Entrée] sc delete Print Spooler [Entrée] sc stop windows network [Entrée] sc delete windows network [Entrée] exit [Entrée] ~~~~~~~~~~ Recherche et supprime ces fichiers (si trouvés) : C:\WINDOWS\System32\dfrgfat32.exe C:\WINDOWS\System32\spooler.exe C:\WINDOWS\nvcr32.exe ~~~~~~~~~~~~~~~~~~~ Toujours en Sans Échec, lance HijackThis! et fixe ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R3 - Default URLSearchHook is missing O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing) O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing) Après avoir cliqué "Fix checked", ferme HijackThis! et redémarre en Normal. Refait un nouveau scan, et poste le rapport ici

Resalut Ce message de L2MFix, au sujet de la ligne O20, est tout à fait normal, car il faut fixer la ou les lignes après son passage. Dans ton cas par contre, il semble y avoir une autre bestiole qui gêne, alors passons un autre outil : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper Clique sur "Essayer". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Et poste un nouveau rapport HijackThis! également (du mode Normal). @ + tard

Ok, voici la prochaine étape. Le tout se fera en Sans Échec. L'orthographe sera très important, et le respect des espaces est vital (dans les lignes de commandes). Faire une recherche pour ce fichier : C:\Windows\system32\rdriv.sys << (on le virera plus tard s'il y est..) Redémarre en Sans Échec ; clique sur "Démarrer" >> "Exécuter", puis tape cmd et clique Ok. Une fenêtre DOS apparaîtra. Tu dois taper chaque ligne ci-bas, et valider avec [Entrée] après chacune : sc stop AIM [Entrée] sc delete AIM [Entrée] sc stop dxdmain [Entrée] sc delete dxdmain [Entrée] sc stop FAT Defragmentation [Entrée] sc delete FAT Defragmentation [Entrée] sc stop inetdns [Entrée] sc delete inetdns [Entrée] sc stop Java [Entrée] sc delete Java [Entrée] sc stop Locator [Entrée] sc delete Locator [Entrée] sc stop NetDDEsrv [Entrée] sc delete NetDDEsrv [Entrée] sc stop Print Spooler [Entrée] sc delete Print Spooler [Entrée] sc stop Rpcmon [Entrée] sc delete Rpcmon [Entrée] sc stop SMSC [Entrée] sc delete SMSC [Entrée] sc stop supermsg [Entrée] sc delete supermsg [Entrée] sc stop WinCon [Entrée] sc delete WinCon [Entrée] sc stop windows network [Entrée] sc delete windows network [Entrée] sc stop WinNet [Entrée] sc delete WinNet [Entrée] et... si rdriv.sys a été trouvé plus tôt : sc stop rdriv [Entrée] sc delete rdriv [Entrée] exit [Entrée] ~~~~~~~~~~~~~~~~~~ Recherche et supprime ces fichiers en gras (si trouvés) : C:\WINDOWS\System32\dxdmain.exe C:\WINDOWS\System32\dfrgfat32.exe C:\WINDOWS\System32\inetdns.exe C:\WINDOWS\System32\winjava.exe C:\WINDOWS\System32\wininit.exe C:\WINDOWS\System32\netddesrv.exe C:\WINDOWS\System32\spooler.exe C:\WINDOWS\System32\Rpcmon.exe C:\WINDOWS\System32\wincntrl.exe C:\WINDOWS\System32\wincon.exe C:\WINDOWS\System32\rdriv.sys << si trouvé C:\WINDOWS\smsc.exe C:\WINDOWS\lsass2.exe C:\WINDOWS\nvcr32.exe C:\WINDOWS\aim.exe C:\WINDOWS\switps.dat C:\WINDOWS\ubber60.ini C:\WINDOWS\winsysupd51.dat C:\WINDOWS\uniq << ce dossier Redémarre en mode Normal. Scan avec HijackThis!, et poste le nouveau rapport. Merci !

Désolé Liloute... ça déborde de partout !! Réponse dans 25 minutes.. et merci de patienter

Hmmm... l'outil rencontre un problème. Ok, je vais te demander de repasser l'option #2 de L2MFix tel que décrit plus haut ; ça se fait en mode Normal. Poste le nouveau rapport dans ta prochaine réponse. Si les problèmes persistent, je demanderai au créateur de regarder le tout et de me suggérer une autre façon. Nous avons également un autre outil en réserve, donc pas de stress

Salut kms49 (et coucou Regis ) ; Est-ce un bug de l'outil ? Ton rapport est trop long pour la limite des posts ici ; pourrais-tu poster la suite s'il te plaît ? et dis moi si t'as rencontré des difficultés...

Sandra ; avant de m'attaquer aux services, j'ai besoin d'un autre scan... 1) Télécharge Getservices.zip de ce lien : http://www.bleepingcomputer.com/files/spyw...getservices.zip 2) Double-clique sur le fichier téléchargé, et tu verras un dossier nommé getservice 3) Colle ce dossier directement sur le C:, donc tu auras C:\getservice 4) Double-clique le dossier, et ensuite double-clique sur getservice.bat 5) Une fenêtre DOS va apparaître momentanément, puis un fichier texte qui contient le rapport. 6) Poste (copie/colle) ce rapport ici s'il te plaît. Si jamais il est trop long et n'apparaît pas au complet sur le forum, prière de poster la suite dans un second post. Le fichier du rapport se retrouve dans le dossier getservice, et se nomme getservice.txt Merci

Bonjour Sandra Dans un message précédent, je t'avais promis quelques manips afin de virer certains Services louches. Suite aux interventions de compétents confrères, je me questionnais sur la pertinence de ces manips, vu l'ampleur du problème... Chose promise, chose dûe. J'aurai besoin d'un peu de temps afin de rédiger la procédure, alors reviens plus tard en soirée, et les instructions seront postées. Nous pourrons alors constater si les changements auront eu un effet. Outre ces manips, je ne sais plus où regarder. Alors à plus tard donc !

C'est bon pitcat ; nous sommes simplement un peu "sensibles" à la dispersion Ok, je ne vois rien de méchant là-dedans. Par contre, je vois Tea Timer (résident de SpyBot) et le résident de Spy Sweeper qui tournent en même temps, ce qui n'est pas l'idéal. Est-ce la version d'essai de Spy Sweeper ? Si oui, ben juste attendre que l'essai se termine et garde Tea Timer en fonction ; si tu veux conserver Spy Sweeper, ben là je te conseille de désinstaller SpyBot complètement, afin d'éviter les conflits. Je vais te faire passer un scan en ligne chez Panda, donc suis ce lien : http://www.pandasoftware.fr/Activescan/Activescan.html ...et clique sur "Analyser votre PC". Tu devras accepter l'installation d'un ActiveX, et fournir quelques renseignements. Tu devrais utiliser Internet Explorer pour faire ce scan, mais je vois Avant qui est une coquille d'IE, donc ça devrait aller également. Scanne le "Poste de travail", et sauvegarde le rapport. Redémarre suite au scan, puis poste le rapport ici.

Tu veux qu'on t'aide à pousser les recherches ? Tu peux suivre la méthode de pré-nettoyage de Megataupe ici : http://forum.zebulon.fr/index.php?s=&showt...ndpost&p=522499 ..et poste un rapport HijackThis! ici. Edit : je constate que tu as posté exactement la même interrogation sur PC Astuces... et Philae t'a répondu la même chose... Je te prie de poster uniquement sur un forum lorsque tu as un souci, car nous, les bénévoles, sommes déjà très occupés et ne pouvons faire le travail en double/triple, etc... Merci

Coucou Tornado , et bonjour kms49 ; Étrangement, même si HijackThis! nous montre des "(file missing)" sur les lignes O20, ben Look2Me est bien présent Prochaine étape : Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". @+ tard

Bonjour à toutes/tous Ewido est très fiable, et tu pourras continuer de l'utiliser après échéance de la période d'essai (moi je l'ai gardé..). Tu n'as plus les MAJs auto et la protection en temps réel, mais le scanneur fonctionnera (avec MAJs manuelles, comme tu l'as fait). Ce fichier, d'après mes recherches (sur le net et sur ma bécane) semble être un fichier texte temporaire (fichier système). Le fichier légitime est celui-là : C:\WINDOWS\system32\config\SECURITY.LOG (texte, caché) Le fichier temporaire contenait sûrement une référence du trojan, donc Ewido l'a viré, comme il le fait pour les tracking cookies (fichiers texte également..). Voilà ce que j'ai trouvé

Bonjour Zarbi, Liegeois, Tornado ; Je viens de trouver ce topic, et quelque chose dans ces Services a attiré mon attention. Je vais jeter un oeil sur le prochain rapport HijackThis!, et puis je pourrai suggérer un nouvel outil (conçu pour éradiquer ce service..). Tornado, tu peux m'envoyer un MP si jamais j'oublie de revenir ?

Cé bon... Ewido n'a pas émis d'erreurs en Normal, donc il a réussi son travail. Il reste des services à supprimer. donc je vais attendre le rapport HijackThis! en Normal avant de poursuivre.

Ok... Lorsqu'elle postera son rapport Ewido, pourrais-tu lui demander de poster un rapport HijackThis! en Normal s'il te plaît ? Merci

Ok... encore du progrès !! Maintenant, on va finaliser le ménage un brin ; Demande à ta copine de désinstaller SpyBot complètement (via le panneau de configuration - Ajout/Suppression de programmes) s'il te plaît... Ça peut paraître extrême, mais SpyBot peut vraiment nuire lors d'une désinfection. Elle pourra le réinstaller après Lancer Ewido et le mettre à jour (ne pas scanner tout de suite - donc ferme-le après la MAJ). Redémarre en mode Sans Échec. Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\alc.exe O20 - Winlogon Notify: awvtt - awvtt.dll (file missing) O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll (file missing) O20 - Winlogon Notify: mlljh - mlljh.dll (file missing) O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing) O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Locator (Locator) - Unknown owner - C:\WINDOWS\system32\wininit.exe (file missing) O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing) O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing) O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing) O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing) O23 - Service: Super AOL instant messenger (supermsg) - Unknown owner - C:\windows\lsass2.exe (file missing) O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing) O23 - Service: WinCon (wincon net driver) (WinCon) - Unknown owner - C:\WINDOWS\system32\wincon.exe (file missing) O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing) O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing) O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing) Fermer tous les autres programmes (sauf HijackThis!) et clique "Fix checked". Fermer HijackThis! Recherche et supprime: C:\alc.exe << ce fichier Toujours en Sans Échec, fais un scan complet avec Ewido, et sauvegarde le rapport. Poste le rapport d'Ewido, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. @ + tard

Resalut J'aurais bien aimé voir son rapport de VundoFix (qui démontre l'éradication de notre nouvelle variante..), mais bon...cé pas essentiel, vu que l'infection n'y est plus ! OK, il reste du nettoyage à faire, et nous devons voir tous les rapports HijackThis! en Normal, et pas en Italique, si possible... Merci (mes pauvres yeux... =================================== Débutons par un scan en ligne chez Panda ici : http://www.pandasoftware.fr/Activescan/Activescan.html - Cliquer sur Analyser votre PC - Elle devra accepter l'installation d'un contrôle ActiveX - Fournir les infos requises (email, etc..) - Scanner tout le PC - Sauvegarder le rapport généré Et poster ce rapport ici, avec un nouveau rapport HijackThis! (en Normal). Quelques étapes encore, et nous y serons

Salut lakota, et bienvenu sur Zeb' Sécurité À première vue, ces détections ne sont pas liées à un virus, mais nous allons fouiller un peu. Non, ça semble être des logs de "dump", quand ton système d'exploitation crash suite à un conflit de périphérique (souvent des pilotes..). Mais on va débuter avec un bon nettoyage : Suis la procédure de Megataupe, puis reviens avec un rapport HijackThis! : http://forum.zebulon.fr/index.php?showtopic=83986 @+ tard !

ShogunZa : tu as une autre discussion d'ouverte ici même ?? C'est le même PC ?? Si oui, poste dans l'autre discussion seulement... le fix est déjà bien avancé, et faut pas utiliser plusieurs conseillers en même temps. Merci de ta compréhension

Coucou Charly , et beau travail ! J'aurais une petite question pour ShogunZa : Je crois également que ton scan d'Ewido a été fait avant de passer L2MFix ; pourquoi as-tu ignoré cette détection ? C:\Documents and Settings\Mr ShOgun\Local Settings\Temporary Internet Files\Content.IE5\KTE7GP2N\WinFixer2005ScannerInstallFRA[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Ignoré ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ On verra avec ton nouveau rapport HijackThis!

Tu es toujours avec nous à cette heure-ci Liloute ?? Tu peux demender à ta copine de supprimer la version de VundoFix qu'elle a en ce moment, et de télécharger, puis de lancer la version mise à jour. Même manips qu'avant. Ah ben tiens, je les reposte : Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. @ bientôt

Exacte... petite pause du combat jusqu'à nouvel ordre