Mark

Ben Merci Charly ! Je déteste trébucher sur de tels fichiers... ça m'arrive une fois par année !! Zoltan : tu dois être incertain après tout ce que tu viens de lire ici ! Ben y faut juste que tu suives les instructions de Charly, au post #11, et oublie l'analyse de ce fichier chez Jotti (ce n'était que pour ma culture personnelle ).

Salut Jack T'as tout à fait raison !! J'ai regardé trop vite !! Ce n'est pas la première fois que je disjoncte en voyant ce fichier dans Sytem32 Toutes mes excuses à Charly !! Zolton : si t'as pas encore supprimé le fichier, pourrais-tu quand même le faire analyser chez Jotti ? J'aimerais voir de quelle bestiole il s'agit (curiosité !!). Et ensuite vire-le, tel que prescrit plus haut par Charly. Je vais me cacher dans mon p'tit coin maintenant...

Salut Zoltan Sensei, salut Charly Zolton : avant de procéder avec la suppression de fichier, pourrais-tu le faire analyser ici : http://virusscan.jotti.org/ ...clique "Browse" et trouve ce fichier : C:\WINDOWS\System32\explorer.exe (s'il y en a deux, analyse les deux !) ...puis clique sur "Submit". Les résultats s'afficheront. Poste les ici s'il te plaît. Tu peux aussi passer l'option #1 de L2MFix, et poste le rapport ici. Attends un peu pour l'option #2.

Coucou Jack , et bonsoir à toutes/tous ; Ouaip... ça sent SmitFraud... Mais celle-ci n'a pas piqué ta curiosité ? O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\enl4l13q1.dll ..et pourtant !!!

Coucou Stonangel ...et que dire de : et de.. Ton OS est-il légal Yvez ?? As-tu déjà tenté de faire sa mise à jour vers SP2 ?? Si jamais ton OS est clean, ne fais pas la MAJ tout de suite par contre. T'es infecté, et tu le seras continuellement si tu utilises Morpheus. La mise à jour doit se faire sur un PC propre. Je poursuivrai un peu plus tard avec la prochaine manip..

Bon, va falloir vérifier si tes pilotes de modem et de carte de son nécessitent des p'tites mises à jour. Ce n'est pas mon domaine, alors je vais voir si un(e) collègue pourrait nous aider ! ou bien rediriger ta discussion dans la section hardware du forum. De tels conflits peuvent effectivement te causer de gros ennuis... Je reviendrai poster ici dès que je peux (ou un collègue)

Bonjour Yvez Cette variante de Vundo s'installe avec un bidule qui se nomme Smiley district optimizer ; va dans la Panneau de Config >> Ajout/Suppression de programmes, et désinstalle ce truc si tu le vois dans la liste. Redémarre la bécane si trouvé. Je vois que tu as passé des outils comme KillBox et L2MFix ??? Tu étais infecté par Look2Me ? Je dois te mettre en garde ; ces outils sont hyper spécialisés et ne devraient être passés qu'après vérification de ton rapport HijackThis! par un Conseiller. Tu pourrais avoir de très mauvaises surprises sinon. Reposte un nouveau rapport HijackThis!, et dis nous pourquoi tu penses être toujours infecté. @+ tard

Merci zelive, pour le dernier rapport Je crois maintenant que tu n'as plus de bestioles ! Avec ce dernier scan, je voulais exclure une infection par le tout nouveau Apropos Rootkit ; il n'y est pas. Par contre, je constate que tu as de serieux conflits matériels. J'aimerais que nous fasses une petite liste des conflits que tu vois dans le Gestionnaire de périphériques (tous), et que tu poste cette liste ici. Les ? et les ! On verra si on peut régler le tout

LOL !! Les fichiers étaient bien là... juste bien cachés !! Un rootkit (et ces fichiers) est généralement caché de l'interface que nous avons avec Windows. Certains peuvent être vus en mode Sans Échec par contre ; ça dépend quel "niveau" de rootkit est installé. Je ne connais pas les détails pour Haxdoor, donc je ne peux que spéculer. Ayant tué l'infection principale, il est possible que tu puisses voir ce fichier maintenant. Si tu le vois pas, essaie en sans échec. Finalement, si invisible toujours, repasse RootkitRevealer et tu en auras le coeur net

Petit update les amis ; Ce fichier avait été détecté par RootkitRevealer, mais pas par HaxFix : C:\WINDOWS\system32\axxt32.sys Bruce : tu peux faire une recherche sur la bécane, et le supprimer si tu le trouves. Pas bien grave si tu trouves pas, car le fichier ne semble pas avoir causé de réinfection (à lui seul), donc juste un rebu. J'ai avisé Marckie de sa présence, et l'outil a été mis à jour en incluant ce fichier.

Hmmm... Ok, poste un tout nouveau rapport HijackThis!, puis on poussera les recherches à nouveau

Salut zelive Bon, j'ai poussé les recherches ; je veux maintenant m'assurer que tu n'es pas infecté par une nouvelle variante d'un rootkit (infection hyper cachée). Peux-tu me dire si ton Gestionnaire de périphériques s'affiche correctement ? Pour vérifier : fait un clic-droit sur l'icône du Poste de Travail >> "Propriétés" et clique sur l'onglet "Matériel", puis sur le bouton "Gestionaire de périphériques". Si tu vois bien l'arborescence à gauche, c'est OK. Ferme les fenêtres. Je vais tout de même te faire faire une autre petite recherche avec l'outil RegSearch : - Au lieu d'imprimer ces instructions (trop long dans ton cas !!), colle les plutôt dans un fichier texte que tu sauvegarderas sur ton Bureau (Bloc Notes ou Word..), car tu devras démarrer en Sans Échec. - Redémarre en mode Sans Échec (choisis ton compte usuel). - Lance l'outil RegSearch (double clique RegSearch.exe) - Copie colle la ligne ci-dessous (ou tape là) dans la première ligne de la zone de recherche: contextplus - rien dans la deuxième ligne de la zone de recherche. - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées. - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch. - ferme RegSearch par Cancel - Redémarre en mode Normal. Colle le rapport de RegSearch dans ta prochaine réponse, et dis nous si ton Gestionnaire de périphériques s'affiche

Bonsoir Médicus, et recoucou Mister-b ; Je dis recoucou, car Mister-b reçoit déjà de l'aide sur PCA pour sa petite infection Egdaccess (avec Ananda). Mister-b : nous sommes tous/toutes bénévoles sur ces forums, et notre temps en ligne est limité, donc y faut pas poster à différents endroits car : 1) Ça nous met en rogne... seulement parce qu'on mobilise deux (ou plus) conseillers pour un même problème... 2) Tu pourrais recevoir des instructions différentes (selon les styles) et tu pourrais tout bouziller... Considérons cette discussion FERMÉE, et retrouve Ananda sur PCA, s'il te plaît. Merci de ta compréhension

Bonjour zelive Je constate que tu as très bien bossé, malgré l'adversité !! Panda, Spy Sweeper et Ewido ont trouvé plein de belles choses Ok, pas le temps de prendre une pause, alors on continue ! Je soupçonne une bestiole cachée, quoique Panda vient de nous virer un beau virus Clique sur le bouton "Démarrer" >> "Exécuter", puis tape cmd Valide avec Ok Dans la fenêtre DOS, tape ces deux commandes, en validant avec "Entrée" après chacune : sc stop Network sc delete Network Tape "Exit" afin de quitter l'invite de commandes. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en gras ci-bas : C:\WINDOWS\SYSTEM32\MYDLL.dll C:\WINDOWS\teller2.chk Clique sur le menu 'File' (en haut à gauche) et choisis Paste from clipboard Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete". Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés ! Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Poste également un nouveau rapport HijackThis!, et dis nous si la bécane tourne un peu mieux depuis les récents scans

Bonsoir Tornado, Ti_youles ; Pourrais-tu essayer Ewido à nouveau, mais en Mode Sans Échec cette fois-ci ? (tapote la touche F8 au démarrage ; tu verras un écran avec choix de démarrages, alors choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel, et non "Administrateur".) Fais un scan complet, si possible, puis sauvegarde le rapport sur le Bureau. Redémarre en mode Normal, puis poste le rapport d'Ewido ici. Bon succès

Bonsoir Et Merci pour ce rapport, et pour les explications concernant Kaspersky (qui était une version d'essai je suppose..). Kaspersky est très fort, mais payant. Avast! est bon, donc pas à s'en faire ! Spy Sweeper a fait un bon ménage, mais ton PC rame toujours... Je vais donc pousser les analyses à nouveau. Imprime ces instructions, ou colle les dans un fichier texte. Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) d'ici -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe l'outil sur ton Bureau - Redémarre en Mode Sans Échec (**très important**) et choisis ton compte usuel. - double clique sur RegSearch.exe - copie colle la ligne ci-bas (ou tape là) dans la première ligne de la zone de recherche : adchannel - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - ferme RegSearch par Cancel - Redémarre en mode Normal. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Refais un scan avec Panda ActiveScan, mais juste pour le Poste de travail cette fois-ci. Sauvegarde le rapport. Colle le rapport de Panda, ainsi que le rapport de l'outil Regsearch dans ta prochaine réponse. On fera ensuite un petit nettoyage supplémentaire

Resalut ; Tes problèmes ne semblent effectivement plus liés aux bestioles. Il est grand temps de mettre ton système à jour cependant, et il y a deux gros avantages à le faire : 1) Tu sécurises la bécanes car plusieurs failles seront corrigées 2) Plusieurs fichiers système seront renouvelés avec le SP2, et ça pourrait te remettre en "business". Je t'invite donc à aller sur Windows Update ici : http://v4.windowsupdate.microsoft.com/fr/default.asp ..et télécharge toutes les mises à jour critiques, incluant le Service Pack 2 (SP2), et installe le tout. Gros téléchargement, mais ça en vaut vraiment la peine !! Reviens nous poster un nouveau rapport HijackThis! par la suite. @ bientôt

Ah ben je suis content d'entendre ça ! J'étais plutôt coincé, et ne savais pas trop faire suite à ton dernier post, sauf te suggérer une réparation de Windows.. Okay ; as-tu réussi à désactiver la restauration comme je te l'avais suggéré ? As-tu accès aux comptes utilisateurs ? La réparation demeure une option intéressante si ton système est malade, alors j'attends de tes nouvelles !

Bonjour Nanou Bon, y a pas de trace de rootkit, ce qui est excellent ! et ton rapport HijackThis! est plutôt propre ! Pour la suite, dis moi exactement quels sont les dysfonctionnements qui perdurent, et on verra. Petite question : as-tu déjà essayé de mettre Windows à jour via Windows Update ? Ne le fais pas tout de suite par contre... le PC doit être propre-propre avant d'y aller !

Bonjour zelive Hmmm... de toute évidence, il reste des trucs là-dessous... Panda et Ewido ont très bien bossé par contre (plusieurs de ces détections étaient des bestioles en quarantaine, donc pas dangeureuses... mais y en a d'autres !!). Je regardais toute la discussion, et je me pose une question : tu avais Kaspersky Antivirus au début, que tu as viré en faveur d'Avast! J'aimerais savoir pourquoi ! car Kaspersky (à jour), aurait stoppé la plupart des virus/vers qui se sont installés ; tu me diras dans ton prochain post. Ok, j'ai besoin d'une analyse de fichier. Tu dois pouvoir connecter le PC malade pour la faire, donc si tu peux pas, passe à l'étape suivante. Va sur le site de Jotti ici : http://virusscan.jotti.org/ ...clique sur "Parcourir", puis cherche ce fichier : C:\WINDOWS\System32\steam.dll << ...sélectionne-le, puis clique sur "Submit". Les résultats d'analyse apparaîtront ; colle les dans un fichier texte (du Bloc Notes) et sauvegarde le. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Je te fais passer un autre scanneur. Si tu peux pas faire sa mise à jour, pas grave... installe le et scanne (en mode Normal) : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper Clique sur "Essayer". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans un fichier texte, et sauvegarde le. Redémarre après le scan (si l'outil ne l'a pas fait..). Colle le rapport ici, avec le résultat du scan de Jotti, et un nouveau rapport HijackThis! s'il te plaît. Dis moi aussi au sujet de Kaspersky !!

Bonsoir Tornado, bonsoir à toutes et à tous Ce lien vers la version d'essai de 90 jours pour Spy Sweeper a été suspendu par WebRoot... Par contre... il y a toujours la version d'essai de 14 jours qui est disponible d'ici : http://www.webroot.com/fr/products/spysweeper/ ...va vers ce lien et clique sur "Essayer" afin de télécharger l'outil. Poursuis ensuite avec les instructions postées par Tornado (réglages de l'outil...), puis sauvegarde le rapport et poste le ici. Bon succès..

Ah voui !! que c'est beau maintenant.. Les outils spéciaux ont bien fait le boulot. Ouff... y avait longtemps que je n'avais vu un PC aussi infecté !! Je suis de retour, et je dois quitter aussi vite... Pas grave, on terminera un peu plus tard ; les infections sont éradiquées, donc c'est l'essentiel pour l'instant. As-tu accès à l'internet maintenant ? Si oui, lance Ewido et mets le à jour. Redémarre en Sans Échec et fais un scan complet. Sauvegarde le rapport. Redémarre en mode Normal. Je vais également te faire passer un scan en ligne avec Panda ActiveScan (en supposant que tu as ta connexion !!) ; Avast! va détecter un fichier d'ActiveScan comme étant nuisible et va le bloquer... C'est un faux-positif, alors désactive Avast! juste avant d'aller sur le site de Panda (tu fais un clic-droit sur l'icône d'Avast! près de l'horloge et choisis "Arrêter la protection résidente", puis fais le scan à partir de ce lien : http://www.pandasoftware.com/activescan/fr...n_principal.htm ..clique sur "Analyser votre PC". On te demandera de t'inscrire avec adresse électronique, etc... Suis la procédure, et fais un scan complet de ton ordi. Sauvegarde le rapport généré. Redémarre, puis poste le rapport dans ta prochaine réponse, avec le rapport d'Ewido également.

Beau travail !! Ok, il nous reste un outil spécial à utiliser, et un peu de nettoyage à faire : Imprime ces instructions pour lecture en mode Sans Échec (ou colle les dans un fichier texte). Télécharge SmitfraudFix (de S!Ri, Balltrap34 et Moe31) de ce lien : http://siri.urz.free.fr/Fix/SmitfraudFix.zip ..et dézippe le contenu sur le Bureau (le dossier SmitfraudFix). Double-clique sur ce dossier, puis lance smitfraudfix.cmd Sélectionne 1 dans le menu afin de créer un rapport. Sauvegarde ce rapport. Redémarre en mode Sans Échec, puis lance HijackThis! et clique "Do a system scan only", et coche ces lignes : R3 - URLSearchHook: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll R3 - URLSearchHook: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll O2 - BHO: (no name) - {5D29C749-5FD1-0004-A1EB-05D58C25E49F} - C:\WINDOWS\System32\klpj.dll O2 - BHO: (no name) - {6804F749-72E2-3530-8CDB-35F8BC15C9AF} - C:\WINDOWS\System32\klpj.dll O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe Ferme tous les autres programmes/fenêtres et clique "Fix checked". Ferme HijackThis! Supprime ce fichier (s'il existe toujours) : C:\WINDOWS\System32\klpj.dll << Toujours en mode Sans Échec, ouvre le dossier SmitfraudFix et lance smitfraudfix.cmd ; sélectionne 2 afin d'amorcer le nettoyage. Répond O pour oui aux questions, si demandées. Sauvegarde le rapport. Redémarre en mode Normal. Poste les deux rapports de SmitfraudFix, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. On y est presque !!

Bonjour zelive, et coucou Jack Beau travail vous deux !! Look2Me est neutralisé. Prochaine étape : Supprime l'ancien VundoFix de ton Bureau (le dossier VundoFix et le fichier d'installation - VundoFix.exe). Installe le nouveau fichier Vundofix.exe (que tu as téléchargé en même temps que L2MFix) sur le Bureau. Lance HijackThis! (en mode Normal) et clique "Do a system scan only", puis coche cette ligne : O20 - Winlogon Notify: Reinstall - C:\WINDOWS\system32\k0jsla171d.dll (file missing) Ferme tous les autres programmes/fenêtres et clique "Fix checked". Ferme HijackThis! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Double-clique VundoFix.exe (le nouveau) afin de le lancer. Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Salut Zonk et bonsoir (jour ?) à tous et toutes ; Benden : tu as une belle infection Look2Me. Très coriace, mais nous avons les outils nécessaires. Suis la procédure de pré-nettoyage proposée par Zonk ici : http://forum.zebulon.fr/index.php?showtopic=83986 ...et poste un rapport HijackThis! ici. Ca suffira pour l'instant