Mark

Bonjour BipBip, German, Charles et Jack Effectivement, ALCWZRD.EXE et SOUNDMAN.EXE sont liés à ta carte de son (RealTek) et ne sont pas méchants. Et comme l'indique BipBip, les fichiers "Uninstall" s'avèrent très souvent inutiles, à moins de vouloir désinstaller les MAJ un jour. Si tu peux voir ces fichiers aujourd'hui, c'est uniquement parce que nous t'avons demandé d'afficher tous les fichiers cachés (incluant les fichiers et dossiers Système). Si tu y retournes et décoches ces options, tu ne verras plus ces fichiers (Oui Charles, les p'tits espaces... )

Bonjour German, bonjour Charles ; German, pourrais-tu reprendre la procédure de Charles telle qu'indiquée au post #28, avec une petite modification : Créé un nouveau fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") : REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "MNI.UWFX5V_0001_LP1710"=- -Enregistrer ce fichier dans : Bureau -Nom du fichier : Winfix2.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes Même séquence que celle du post #28... Envoie un nouveau rapport HijackThis! quand c'est fait !

Bonjour à tous ; L'une des infections présentes peut empêcher le PC de démarrer en sans échec (Vundo/conhook) ; on le voit régulièrement. Coco54 : ne désespère pas stp !! Tu auras des instructions pour éradiquer ces bestioles très bientôt !

Bonjour Claire, bonjour Charles, Je suis heureux que ton PC fonctionne à la normale maintenant Cette lutte aux bestioles, elle se fait tellement mieux en équipe !! Moi, j'ai eu la chance de côtoyer celui qui a créé ce fix pour le rootkit, donc j'ai pu le renifler. Pas facile de combattre un ennemi qui est totalement invisible. L'union fait la force, et j'ai beaucoup à apprendre de l'équipe de Zeb' Sécurité ! Merci à Charles de compléter avec les consignes prévention, car les miennes sont : 1) Moins bonnes !! et 2) Toutes en Anglais... Claire ; il y a une petite ligne dans ton rapport HijackThis! qui me chicotte.. La voici : O16 - DPF: {D1B09964-F8F7-4FAB-8F2D-B8B2AC3D3BD3} (INIwallet_Eng Control) - http://plugin.inicis.com/INIwallet_Eng.cab ..je ne trouve aucune info pertinente à son sujet Si tu connais un truc qui se nomme "inicis" ou "INIwallet", alors ça devrait aller. Sinon, tu peux fixer cette ligne. De toute façon, fixer une ligne du groupe des "O16" n'est jamais risqué, alors tu peux la virer sans soucis (si une application légitime a besoin du contrôle ActiveX, elle te sommera de la télécharger à nouveau !) Bon Dimanche ! et bon surf.

Excellent résultat Claire Qu'en est-il des popups maintenant ? Comment roule la bécane ? Je serai de retour dans quelques heures ; donc possible qu'on ne se reparle que demain !

Merci pour le rapport Allons-y pour le rootkit ! Imprime ces instructions, ou colle-les dans un fichier texte, pour lecture en Sans Échec. Télécharge AproposFix (de Swandog46) du lien suivant : http://swandog46.geekstogo.com/aproposfix.exe Sauvegarde-le sur ton Bureau, mais ne le lance pas. Redémarre en mode Sans Échec, et voici comment : 1) Redémarre ton ordi 2) Tapote la touche F8 immédiatement, juste après le "Bip" 3) Tu verras un écran avec options de démarrage apparaître 4) Choisi la première option : Sans Échec, et valide avec "Entrée" 5) Choisi ton compte régulier, et non Administrateur Double-clique sur aproposfix.exe et décompresse-le sur ton Bureau. Ouvre le dossier "aproposfix" situé sur ton Bureau et lance RunThis.bat. Suis la procédure qui s'affiche. Quand l'outil aura terminé son travail, redémarre en mode Normal, poste un nouveau rapport HijackThis! ainsi que tout le contenu du fichier log.txt situé dans le dossier "aproposfix". À bientôt

Super !! Tu viens de démasquer la bestiole Je traduis la procédure du prochain fix, et attendrai ton prochain log avant de poster

Rebonjour Claire Étrange.. pas de Look2Me détecté ? Les fichiers dll restants sont donc inactifs (bonne nouvelle !). Nous allons donc creuser un peu plus loin. Oui, j'aimerais un nouveau rapport de L2MFix (option #1 seulement !!). Je vais également te demander un autre truc ; Imprime ces instructions (ou colle-les dans un fichier texte) pour lecture en Sans Échec. Télécharge Registry Search Tool de BillsWay en cliquant ce lien : http://www.billsway.com/vbspage/ Défile au bas de la page et télécharge l'outil. Dézippe-le sur ton Bureau. Redémarre en mode Sans Échec (impératif) >> Au redémarrage, tapote la touche F8 ; au menu d'options, choisi "Sans Échec" avec les flèches du clavier, puis "Entrée". Choisi ton compte régulier, et non Administrateur. Ouvre le dossier RegSrch, situé son ton Bureau, et double-clique sur RegSrch.vbs Si ton antivirus s'affole pour le script, accepte-le quand même. Au démarrage, on te demandera d'y entrer un élément pour recherche ; tape exactement ceci : adchannel Clique OK et la fenêtre disparaîtra ; donne-lui quelques instants. Une fenêtre de résultats devrait apparaître, puis clique OK. Tu devrais voir une fenêtre Bloc Notes ; sauvegarde ce fichier. Redémarre en Mode Normal. Poste les résultats de RegSearch ici, ainsi qu'un nouveau rapport HijackThis! et le nouveau rapport de L2MFix stp. Ouff..

LOL ! Attendons voir après ton nettoyage, qui va grandement aider J'ai dû traduire le fix, et là c'est prêt !

Bonjour Angélique ; Metallica a créé un outil, avec l'aide de Merijn, spécialement conçu pour cette infection coriace. J'attendrai donc les résultats, et on verra..

Bonjour BOB.B, et bienvenue sur Zeb' Sécurité Je regarde tes rapports et constate la présence d'une bien vilaine infection. Je prépare le fix, et te reviens dans quelques minutes.

Bonjour Claire, Charles, S.Birkoff ; Vilaine celle-là... D'après les logs, tu as une infection Look2Me coriace, et Spy Sweeper signale des fichiers de type "rootkit". DllCompare et L2MFix détectent effectivement des fichiers L2M toujours actifs, et le fameux "guard.tmp" ne se pointe pas, ce qui est typique de la nouvelle variante. Hmmm.. Claire, je vais te demander de repasser Spy Sweeper selon les directives du post #6 ; le scan se fait en mode Normal, et quand le programme veut redémarrer à la toute fin, accepte (sinon Look2Me se réinstalle..). Copie/colle le rapport dans ta prochaine réponse stp, et bonne chance On verra pour la suite !

Bonsoir à tous Je voulais vous faire part d'une autre lecture ; il semble que certains jeux peuvent également trébucher Norton, et que ce fichier ciblé serait un pilote du jeu en question ("Renegade", dans le topic que je viens de voir). Une fois le jeu désinstallé, finies les alertes de Hacktool. Faut être prudent cependant, car l'alerte peut être réelle ; dans ce cas-ci, avec les scans effectués, je crois vraiment au faux-positif.

Bonjour à tous ; Je viens de lire quelque chose d'intéressant au sujet de SVKP.sys ; bien que quelques fois associé à une peste, il semblerait que dans la majorité des cas, ce soit un "faux-positif" de Norton antivirus, qui trébuche sur ce fichier qui appartient à "TweakUI", un p'tit utilitaire très bien. Seul Norton commet cette gaffe...

Bonjour xibaarinfo, bonjour à tous ; L'outil de Swandog a fait le travail pour ce rootkit, d'après ton rapport. Excellent ! Maintenant, comme tu as toujours des popups, ils sont probablement liés à une infection parallèle. Charles pourra investiguer d'avantage Petite note au sujet de RegSearch : j'ai contacté Bobbi_Fleckman, et il me dit que cette erreur ne provient pas directement de son tool ; il a pris le temps d'éplucher le code de A à Z ce matin, et n'a rien trouvé qui puisse générer cette erreur. Il est très consciencieux et généreux ce Bobbi (Merci !!). L'erreur provient d'un autre module, probablement, mais peu importe.. Courage !

Bonjour xibaarinfo, bonjour Charles, L'erreur de RegSearch était inattendue, mais ta recherche avec regedit en Sans Échec vient de confirmer l'infection Charles pourra te prescrire un tool bien spécifique, qui devrait t'éradiquer cette bestiole hyper cachée Bonne chance !

Bonsoir O.Fournier, et bonsoir à tous et à toutes ; Tout un accueil !! Dommage que Jean Chrétin (oopss..) ne soit plus notre PM ! Nous avons un autre clown maintenant, mais moins rigolo que son prédécesseur. J'aime bien les blagues ! Merci O.Fournier Ça fait trop sérieux ici ; dans quelle section de Zeb peut-on rigoler un peu ?

Bonsoir Tirol ; Tu avais tout à fait raison de me remettre à ma place. Poster mon commentaire "live" n'était pas la solution idéale. Mes excuses vont à BipBip et à Jack, ainsi qu'à Melkis pour cette intrusion. Ça aurait dû se faire par PM, tout à fait. Je suis nouveau, et j'apprends. Un peu sur le tard peut-être. Quant à Spy Sweeper, tes craintes sont partagées par les warriors de partout. J'en avait discuté avec certains membres distingués d'ici, par PM, mais le message n'a évidemment pas eu le temps de circuler. Il existe un outil, créé par un développeur de la communauté, qui éradiquait les plus récentes variantes de L2M/VX2 avec brio. L'évolution qui tue la dernière venue est toujours en Béta, donc pas disponible pour nous. Ça devrait arriver d'ici quelques jours. Depuis quelques jours donc, seul Spy Sweeper fonctionne, d'où mon intervention. J'attends avec impatience la venue de l'autre, pour des raisons que tu as évoquées ci-haut. SS est gratuit pour 14 jours, et je ne suggère jamais l'achat de ce dernier à qui que ce soit. Si les gens de Webroot écoutent, faites donc comme Ewido ! Offrez 14 jours d'essai, avec MAJ auto et protection en temps réel, puis laissez le scanneur, qui fixe, gratuit à l'usager avec MAJ manuelles ; je conseille à mes visiteurs de le conserver, celui-là, sans payer pour les extras !! Ceci dit, je ne suis pas à l'emploi de Webroot ! Pour moi, guerrier, la priorité est d'éradiquer les pestes de la façon la plus rapide, facile et la moins coûteuse pour l'usager, point final. SS nous donne une fenêtre restreinte, je le constate, mais c'est la seule à notre disposition aujourd'hui. J'ai vu trois nouveaux logs infestés de L2M hier soir, sur Zébulon, et je suis passé en mode attaque. Voilà mon histoire. Suite par PM seulement. Mes salutations distinguées aux guerriers de toutes générations ;

Y a pas de quoi Sygate ? Bon choix... je l'utilse également ; plutôt simple d'utilisation, et performant. Prévention et un oeil vigilant = PC propre ! Bon surf

Un p'tit bonjour à toutes et à tous Merci ipl pour cette intro plutôt chaleureuse Je suis ravi de constater que Donna et ChaChazz visitent ici également. En effet, les gens de cette communauté sont fort sympathiques, et généreux de leur temps (quand celui-ci le permet..). J'aime l'atmosphère qui règne ici, et après quelques années sur des forums anglophones, je peux enfin m'exprimer un peu dans ma langue natale... et pas de blagues sur mon "québécois" svp !! Mon temps en ligne étant limité ces temps-ci, je vais faire de mon mieux pour visiter mes nouveaux amis Zebs le plus souvent possible !! Les infections se compliquent, de nouveaux outils apparaîssent, donc une bonne coopération avec échange de renseignements peuvent grandement simplifier la vie aux guerriers et victimes de ces pestes qui nous hantent. C'est l'heure du ménage... Bon dimanche tout l'monde ! Mark.

Très beau résultat ! Je te conseille de garder SS pour les 14 jours (on sait jamais...) ; cependant, tu peux désactiver la protection en cliquant à droite sur l'icône près de l'horloge et "Shutdown". Comme ça, tu pourras constater la "propreté" de ton système pendant tes séances de surf

Salut BipBip07 ! Cet outil de Merijn date de Mars 2004, et plusieurs variantes de L2M ont défilé depuis. Les bons outils actuels, tels Ad-Aware SE, SpyBot 1.4, Ewido, etc... s'occupent bien de ces anciennes pestes. Les plus récentes variantes comptent parmi les plus difficiles infections de l'heure (surtout cette toute dernière..). L'idée était bonne.

Bonjour Jack, bonjour Darkness ; Spy Sweeper possède son propre "process killer", alors le mode normal lui va très bien. LookToMe est complexe à éradiquer, mais le tool se débrouille bien. Honnêtement, je sais pas comment Spy Sweeper se comporte en sans échec, alors vaut mieux le faire en normal. Bonne chance

Bonjour Jack_Burton, bonjour x-teri ; Je me permets cette petite intervention, car je connais très bien VundoFix ; La première manip de Jack a tué le fichier principal, donc VundoFix ne le trouve plus - normal. Il y a d'autres pestes dans ton log cependant, et Jack s'en occupe. Tu peux donc reprendre à partir du point #5 (en sans échec), et les lignes relatives à Vundo devraient disparaître. Bonne chance.

Y a pas de quoi Charles Ce topic n'est peut-être pas le bon endroit pour parler de L2M, mais je prends deux secondes quand même... La nouvelle variante de ce monstre refuse de partir avec L2MFix ; Shadowwar travaille sur l'évolution, et devrait la présenter ces jours-ci. Le problème est avec guard.tmp, qui refuse de décoller. Si vous en voyez, passez un coup de L2MFix (option #1, puis #2 si .dll identifié), et après, passez le nouveau Spy Sweeper (de WebRoot), version d'essai 4.5, qui éradique maintenant la nouvelle variante (en mode normal ça ira..). Sympa votre board ; continuez votre excellent travail ! Je vais tenter de vous tenir au courant des modifs apportées à VundoFix dans le futur