Mark

Bonsoir zelive. bonsoir à toutes et à tous Vu l'heure tardive, permets moi de prendre la relève, car il reste beaucoup de travail à faire ; tout progresse bien par contre Ok, démarre en mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [WinDLL (svchost.dll)] rundll32.exe C:\WINDOWS\System32\svchost.dll,start O4 - HKLM\..\Run: [WinDLL (jbi32.dll)] rundll32.exe C:\WINDOWS\System32\jbi32.dll,start O4 - HKCU\..\Run: [qkmz] C:\PROGRA~1\FICHIE~1\qkmz\qkmzm.exe O4 - HKCU\..\Run: [Oetc] "C:\Program Files\roor\eups.exe" -vt yazr O4 - HKCU\..\Run: [itz] C:\WINDOWS\System32\?ti2evxx.exe Ferme tous les autres programmes ouverts, y compris ton navigateur, puis clique "Fix checked". Ferme HijackThis! Du mode Sans Échec toujours, recherche, via l'Explorateur Windows, ce fichier et dossiers, et supprime les : C:\WINDOWS\System32\jbi32.dll << fichier C:\Program Files\roor << dossier C:\Program Files\Fichiers communs\qkmz << dossier Redémarre ton PC en mode Normal. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Comme tu dois télécharger les outils via un autre PC, je vais t'en faire télécharger deux d'un coup ; un servira maintenant, et l'autre plus tard : Télécharge VundoFix.exe (par Atribune). Ceci est une version différente de celui que tu as téléchargé au début. Il servira dans une prochaine étape. Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau (du PC infecté) et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin. Bon courage... on va y arriver

Salut Nanou Ok, pour la suite, passe l'outil BlackLight, tel que prescrit dans mon post précédent, et on poursuivra. Cette détection ErrorSafe n'est pas prioritaire en ce moment, car y a autre chose qui se cache. J'en ai discuté avec une amie experte, et cette clé Legacy (errorsafe) n'est absolument pas dangeureuse. Elle peut tout simplement être ignorée, ou on peut la virer comme nous l'explique Pearl (effectivement ). Windows protège toutes ses clés Legacy par défaut, donc faut être astucieux et changer les permissions. Mais pas tout de suite... Poste également un tout nouveau rapport HijackThis! avec elui de BlackLight s'il te plaît. @ bientôt !

Merci pour le rapport Patriko, et désolé pour le petit délai de réponse ; Bon, j'ai demandé conseil à une amie experte, qui connait les pestes beaucoup mieux que moi, et voici (en gros), ce qu'elle me dit : Les clés Legacy ne sont jamais dangeureuses, même si installées par des bestioles. Donc pas obligé de les supprimer. De plus, ces clés sont bien protégées, donc difficile à virer... mais pas impossible !! Perso, je préfère laisser SpyBot ignorer cette détection, surtout avec un beau rapport HijackThis! propre (et autres scans propres également). BlackLight ne révèle pas de rootkit, ce qui est excellent. Poste tout de même un nouveau rapport HijackThis!, afin de s'assurer que tout est toujours propre !

Hmmm... ça c'est plutôt dommage.. car je croyais que des clés de registre responsables auraient pu être réparées avec cet outil. Avant de penser à faire une réparation de Windows, allons te désactiver la restauration, car de toute façon y a des fichiers infectés dedans !! Et on ne passe pas par le calendrier, alors voyons voir : Fais un clic-droit sur le Poste de Travail, clique "Propriétés" et choisis l'onglet "Restauration du système" ; coche "Désactiver la restauration système sur tous les lecteurs", puis "OK". Redémarre, et retourne au même endroit, puis décoche la case et "OK". Ceci devrait, en principe, te créer un nouveau point de restauration. Retourne au calendrier et dis moi si tu peux y accéder maintenant (on sait jamais...). Si nous devons envisager une réparation de Windows, y faudra que tu fasses des sauvegardes de tes fichiers importants ; la réparation ne supprime pas tes fichiers ou programmes, mais Microsoft conseille fortement de faire les backups, juste au cas où la manip tournerait mal et donc que tu sois obligé de formater le DD. On verra, en temps et lieu.

Ben, il est sympa, mais pas quand il se pointe dans la bdr !! Je me suis fié à un collègue conseiller... confiance aveugle...

Edit :GRILLÉ !!!!! Salut Charly ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ LOL !! Merci pour la confiance Le scan en ligne de Panda éradique les virus/vers seulement, mais il détecte aussi plusieurs trojans et spywares, et c'est pour cette raison qu'il est un outil précieux pour nous. Sans tout virer, il détecte souvent des bestioles que d'autres outils ne voient pas. Tu peux virer ces fichiers : C:\WINDOWS\SYSTEM32\xnairo_nav.dat C:\WINDOWS\GatorFDDLI.log Lance le Bloc Notes, puis copie tout le contenu de la boîte Code ci-bas (sans le mot Code), et colle le dans le fichier texte : REGEDIT4 [-HKEY_CURRENT_USER\SOFTWARE\MONTORGUEIL] - Clique sur le menu "Fichier" ; - Choisis le Bureau comme destination - Nomme le fichier fixme.reg - Change le "Type :" pour "Tous les fichiers" - Clique sur "Enregistrer" Du Bureau, double-clique sur le fichier fixme.reg et accepte la fusion. Redémarre. Poste un nouveau rapport HijackThis! dans ta prochaine réponse

Bah j'avoue que la confiance aveugle, cé pas mon genre non plus !! , alors voici quelques liens : De notre Guru Megataupe ( ) : http://forum.zebulon.fr/lofiversion/index.php/t71650.html De notre amie, et grande dame de l'anti-malware, CalamityJane : http://www.dslreports.com/forum/remark,15078576~start=20 Du site Australien d'Avast! : http://www.avast.com.au/i_kat_322.html

Je te comprends. Laisse moi faire un peu de lumière là-dessus. Panda utilise plusieurs fichiers non encryptés, et certains sont captés par d'autres antivirus qui ne reconnaissent pas un virus réel, mais bien un fichier "d'allure virus". Le fichier est tout à fait sécuritaire, mais tu devras me faire confiance "aveugle", à moins d'aller voir sur les forums Avast! où l'on en parle. Jusqu'à tout récemment, Kaspersky antivirus détectait ce même fichier comme un virus. Les gens de Panda refusent d'encrypter, et les concurrents (comme Avast!) refusent de retirer la détection... on ne sait trop pourquoi ! J'ai moi-même désactivé Avast! sur ma bécane afin de tester ActiveScan.. aucun problème

Excellent travail !! Ok, le script de Métallica cible une autre clé livesvc (dans HKCU), mais pas celle détectée par SpyBot, car son nom est différent sur chaque PC. Pas grave, ce n'est qu'un rebu. J'aimerais bien t'écrire un petit fix pour la virer, mais le nom est tronqué par tous ces pointillés, donc je peux pas.. Si tu es à l'aise avec regedit, ben tu peux aller à : HKEY_USERS\1-5-21-.....1005\Software (tu verras le nom complet) et puis supprime livesvc Celle-ci : Windows Security Center.AntiVirusDisableNotify : HKEY_LOCAL_MACHINE_\SOFTWARE\Security Center\AntiVirusDisableNotify!=dword:0 ..indique seulement que tu as désactivé la reconnaissance de Norton dans le "Windows Security Center". Pas grave, tant que tu fais tes mises à jour régulièrement. Tu peux supprimer ce fichier : C:\WINDOWS\system32\msegcompid.dll << Les deux autres ne sont que des cookies (qui s'ajoutent à chaque fois que tu visites une page web). Repasse SpyBot, puis poste un nouveau rapport HijackThis! et dis nous si tout va bien

Salut Vérolé67, et coucou Charly Pour Panda, tu devras désactiver Avast! temporairement, car il détecte et bloque un fichier nécessaire au contrôle ActiveX. Fais un clic-droit sur l'icone d'Avast! (près de l'horloge) et clique "Arrêter la protection résidente", et là tu pourras faire le scan avec Panda. Réactive Avast! une fois le scan terminé. Bonne fin de soirée à vous deux

Oui pardon... c'est bien "Enregistrer la cible sous..." Je viens d'essayer avec IE et FireFox ; ça fonctionne dans les deux cas. Pourrais-tu réessayer ?

Ok, tu es infecté par une variante moins aggressive de Egdaccess (cousine de Instant Access), bien heureusement !! Merci pour le rapport Là on va te faire du ménage. Désactive les protections résidentes de MS-Antispyware et a-squared, puis suis les instructions que voici : Télécharge Brute Force Uninstaller (de Merijn). Décompresse-le dans un dossier propre à lui (c:\BFU) FAIS UN CLIC-DROIT ICI et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS Remover (de Metallica). Sauvegarde dans le dossier créé (c:\BFU) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu Clique sur execute et laisse-le faire son travail. Attendre que complete script execution apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU. Le BFU ne génère aucun rapport. Redémarre ton PC, et dis nous si tu as toujours des dysfonctionnements !

Ok, Allons voir si y a pas de rootkit là-dessous, et puis on verra ; Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Ne t'attarde pas à la bdr ; fais le scan avec HijackThis + Extra (tel que suggéré au post #19), et puis après on pourra te suggérer un fix adapté. Nous te passerons un outil qui fera le ménage complet de cette peste dans la bdr également. Merci

Nanou16 ; t'es toujours là ?? Pear : je suis également ouvert aux suggestions. Pourrais-tu nous dire exactement quelle clé tu as virée ?? Bon, j'ai fouillé partout, sur le forum de SpyBot compris, et je ne trouve rien sur cette détection ErrorSafe. Celle de cmdservice, par contre, est un faux-positif (lorsqu'aucune autre ligne command n'apparaît dans le rapport HijackThis!). Jack et moi en avons discuté, et il s'agit peut-être d'un rootkit (infection hyper cachée). Allons vérifier, pis après on verra pour fixer cette clé de registre. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Bonjour tupello, bonjour Jack Ce fichier msclock32.dll confirme qu'il s'agit d'une infection Egdaccess cachée (très coriace). Cete infection modifie des dizaines de clés de registre, et installe un processus caché de HijackThis!. Il faut d'abord identifier le processus : Télécharge HijackThis! + Extra de ce lien : http://metallica.geekstogo.com/setuphjt.exe Sauvegarde le sur ton Bureau. Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT Double-clique sur le raccourci HJT and More, puis double-clique ht.bat Une fenêtre DOS apparaîtra; Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible. Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).

PROPRE !!!!! (faut m'excuser... ) J'offre une 'tite à Charles, et pis une autre pour toi, car tu as bien bossé !! Les manips n'étaient pas des plus simples, alors Bravo ! Suis bien les conseils de Charly, afin d'optimiser et sécuriser ta bécane Une autre : supprime le fichier Thumbs.db du Bureau... et laisse Windows le recréer... Edit : coucou Charly !!

Normal... On t'a fait modifier les options afin que tu puisses visualiser les fichiers et dossiers cachés, incluant les fichiers système : tu pouvais donc voir un petit fichier, sur ton Bureau, nommé Thumbs.db Ce fichier système permet la visualisation avec "aperçu des images et des télécopies". Si t'as supprimé ce petit fichier, ben tu peux plus visualiser. Regarde dans ta corbeille et restaure le, s'il s'y trouve. S'il y est pas, ben Windows devrais le recréer automatiquement (quand je sais pas !!!).

Salut Tupello, et coucou les bleus Ben je viens de regarder dans Ewido, et je trouve pas d'option pour désactiver ce truc. Pas grave, car il est plutôt chouette (même si on demande de le désactiver à l'installation - raison d'ergonomie). Pas nuisible et pas gourmand, donc faut pas t'en faire !

Resalut Ok, Kaspersky nous indique que le fichier obscure a bien été tué par KillBox , et il nous montre un autre rebus de Egdaccess (msclock32.dll) ; nous allons te passer un outil spécial, conçu pour infections Egdaccess, qui va te supprimer ce qui reste, et va aussi réparer ta bdr de tout le bordel causé par cette peste. On va te passer un nouveau regfix (inspiré de celui de Charly au tout début) qui, je l'espère, va t'enlever ces messages de magicControl.agent. On attaque ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge Brute Force Uninstaller (de Merijn). Décompresse-le dans un dossier propre à lui (c:\BFU) FAIS UN CLIC-DROIT ICI et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS Remover (de Metallica). Sauvegarde dans le dossier créé (c:\BFU) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe Sous scriptline to execute copie/colle c:\bfu\EGDACCESS.bfu Clique sur execute et laisse-le faire son travail. Attendre que complete script execution apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU. Le BFU ne génère aucun rapport. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Supprime le fichier fixme.reg que tu avais créé au début. Lance le Bloc Notes, puis colle le texte inclus dans la boîte Code ci-bas (sans le mot Code) : REGEDIT4 [-HKEY_USERS\S-1-5-21-2011925375-3653460283-2877552486-1006\Software\LanConfig] [-HKEY_USERS\S-1-5-21-2011925375-3653460283-2877552486-1006\Software\mc\SA] Clique sur le menu "Fichier" >> "Enregistrer sous..." : - Choisis le Bureau comme destination - Nomme le fichier fixme2.reg - Change le "Type :" pour "Tous les fichiers" - Sauvegarde ("Enregistrer") Du Bureau, double-clique fixme2.reg, et accepte la fusion. Redémarre. Poste un nouveau rapport HijackThis! (régulier), et dis nous si ça va mieux

Bonsoir Angélique, et bonsoir à toutes et à tous ; Effectivement, ce SpywareStrike est généralement accompagné de SpyAxe et/ou cousins de SmitFraud toupic91 : suis la méthode proposée par Jack, puis poste un rapport HijackThis! s'il te plaît

SUPER !! Beau travail ; toi et Charly Pour ce qui est de ces fichiers .dat, tu as bien fait de les virer, quoique pas dangeureux (rebus). Comment tourne la bécane maintenant ?? Je dois filer, mais je serai de retour un peu plus tard (Charly aussi !). On verra s'il faut passer d'autres scans, selon ce que tu nous diras

Salut binacalista, et bonjour Charly Ce processus peut être invisible en Mode normal, donc faut être plus rusé que lui Imprime ces instructions (ou colle les dans un fichier texte), pour lecture en Mode Sans Échec ; Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte "Full Path of File to Delete" : C:\windows\system32\lbecovx.exe Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. **Important : lors du redémarrage, tapote immédiatement la touche F8 afin de redémarrer en mode Sans Échec (tu verras un écran avec choix de démarrages ; choisis "Mode sans échec" avec les flèches du clavier et valide. Choisis ton compte usuel, et non Administrateur). Du mode Sans Échec, lance HijackThis! (version régulière) et clique "Do a system scan only", puis coche cette ligne (si elle est présente) : O4 - HKLM\..\Run: [lbecovx] c:\windows\system32\lbecovx.exe lbecovx Clique "Fix checked", et ferme HijackThis!. Du mode Sans Échec toujours, va voir si tu trouves le fichier suivant, et supprime le si présent : C:\Windows\System32\lbecovx.exe (pas grave s'il n'est pas là..) Redémarre en mode Normal. Lance HijackThis + Extra, puis double-clique ht.bat, puis poste (copie/colle) le rapport both.log dans ta prochaine réponse

Salut Nanou, et bonjour à toutes / tous Bon, effectivement, j'aurais aimé voir le premier rapport de Spy Sweeper (je suis voyeur... ) ; Pas grave. Lance Spy Sweeper, puis clique sur "Results" (à gauche), puis clique sur l'onglet "Session Log" ; j'espère que tu y verras tous les résultats (des deux scans) ; si oui, colle les résultats du premier scan dans ta prochaine réponse. Et dis nous si t'as toujours des dysfonctionnements !

Bonsoir Tesgaz, bonsoir Jack, bonsoir Nanou16 et patriko ; J'ai fouillé un peu de mon côté, et je vous propose ceci (du forum officiel de SpyBot), qui devrait régler le cas de cmdservice, et peut-être celui d'Error Safe (souhaitons le..). patriko, tu peux faire ce scan également, mais poste les résultats dans ton topic s'il te plaît. Je crois que l'un d'entre vous deux avait déjà installé Spy Sweeper ? Si oui, prière de le désinstaller via le panneau de configuration ("Ajout/Suppression de programmes"), et redémarrer par la suite, s'il y était. La version que je vous propose, ci-bas, est légèrement différente, donc faut désintaller toute version antérieure. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 90 jours) : http://www.webroot.com/land/90day.php? Clique sur "90 Days Free - Download Now" (sur la droite). Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Nanou16 ; poste le rapport de Spy Sweeper dans ta prochaine réponse. Merci !