Résolu - Merci Bruce Lee

[bruce lee]

bonjour WHYNOT8661,

 

toutes mes condoleances Les manips attendront fait les quand tu auras le temps, rien ne presse.

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Modifié le 19 janvier 2007 par bruce lee

[WHYNOT8661]

bonjour WHYNOT8661,

 

toutes mes condoleances Les manips attendront fait les quand tu auras le temps, rien ne presse.

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

 

Bonjour Bruce : merci pour tes condoléances. Triste journée qui fait malheureusement partie de la vie !

 

Je n'ai tout d'abord pas pu télécharger Look2Me-Destroyer.exe sur mon PC je l'ai fait sru celui de maille est enregistré sur clé USB mais par la suite sur mon PC je n'ai pu l'ouvrir soit en partant de la clé soit en l'ayant d'abord copier sur disque. Je n'ai pas essayé en mode sans echec mais était-ce utile ?

Merci !

[bruce lee]

bonjour WHYNOT8861,

 

Je n'ai pas essayé en mode sans echec mais était-ce utile ?

 

En mode sans echec ca ne marchera pas.

 

 

Télécharge L2mfix (de Shadowwar) de l'un de ces liens :

http://www.atribune.org/downloads/l2mfix.exe

http://www.downloads.subratam.org/l2mfix.exe

 

Ferme toutes les applications en cours, car cette étape nécessite un redémarrage.

 

Du dossier l2mfix situé sur ton Bureau,

double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite Entrée .

Les icônes du Bureau vont disparaître (tout à fait normal).

L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC.

Appuie sur n'importe quelle touche pour redémarrer.

Après le redémarrage, un fichier texte devrait apparaître.

Copie/colle le contenu de ce rapport dans ta prochaine réponse.

 

**Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

[WHYNOT8661]

bonjour WHYNOT8861,

En mode sans echec ca ne marchera pas.

Télécharge L2mfix (de Shadowwar) de l'un de ces liens :

http://www.atribune.org/downloads/l2mfix.exe

http://www.downloads.subratam.org/l2mfix.exe

 

Ferme toutes les applications en cours, car cette étape nécessite un redémarrage.

 

Du dossier l2mfix situé sur ton Bureau,

double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite Entrée .

Les icônes du Bureau vont disparaître (tout à fait normal).

L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC.

Appuie sur n'importe quelle touche pour redémarrer.

Après le redémarrage, un fichier texte devrait apparaître.

Copie/colle le contenu de ce rapport dans ta prochaine réponse.

 

**Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

 

Voilà le rapport mais j'ai encore du télécharger sur l'ordi de ma fille, impossible sur le mien : Merci !

L2mfix 051206

Creating Account.

La commande s'est termin‚e correctement.

 

Adding Administrative privleges.

Checking for L2MFix account(0=no 1=yes):

1

Granting SeDebugPrivilege to L2MFIX ... successful

 

Running From:

C:\WINDOWS\system32

 

Killing Processes!

Killing 'smss.exe'

\SystemRoot\System32\smss.exe (472)

Killing 'winlogon.exe'

winlogon.exe (552)

Killing 'explorer.exe'

C:\WINDOWS\Explorer.EXE (1404)

Killing 'rundll32.exe'

Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrateurs ... successful

 

Scanning First Pass. Please Wait!

 

First Pass Completed

 

Second Pass Scanning

 

Second pass Completed!

 

 

 

Restoring Windows Update Certificates.:

 

The following Is the Current Export of the Winlogon notify key:

****************************************************************************

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

"Logon"="WLEventLogon"

"Logoff"="WLEventLogoff"

"Startup"="WLEventStartup"

"Shutdown"="WLEventShutdown"

"StartScreenSaver"="WLEventStartScreenSaver"

"StopScreenSaver"="WLEventStopScreenSaver"

"Lock"="WLEventLock"

"Unlock"="WLEventUnlock"

"StartShell"="WLEventStartShell"

"PostShell"="WLEventPostShell"

"Disconnect"="WLEventDisconnect"

"Reconnect"="WLEventReconnect"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000000

"SafeMode"=dword:00000001

"MaxWait"=dword:ffffffff

"DllName"=hex(2):57,00,67,00,61,00,4c,00,6f,00,67,00,6f,00,6e,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Event"=dword:00000000

"InstallNotifyShown"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings]

"Data"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,\

00,00,f8,59,d6,52,a0,24,02,46,bd,47,b0,84,3f,85,ab,0b,04,00,00,00,04,00,00,\

00,53,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,d0,ef,b4,a1,e6,a3,f7,03,\

0d,63,82,25,1b,e9,7c,ec,00,00,00,00,04,80,00,00,a0,00,00,00,10,00,00,00,90,\

4b,10,d9,91,b5,07,1a,f5,8b,c9,9f,fb,e0,83,19,18,02,00,00,2e,8d,88,7b,b9,7f,\

01,f7,37,19,7f,3c,39,a8,36,4f,64,ba,d3,a5,4a,80,4d,9a,aa,d3,12,3b,2d,46,5a,\

6b,11,e5,49,87,14,56,85,27,a2,76,ff,47,c1,f8,8f,24,e9,3f,ae,3a,74,24,39,ad,\

d3,f0,6b,ea,2e,7d,32,52,31,e4,85,0e,35,58,2b,28,0d,fd,03,30,5b,64,2e,f6,77,\

76,67,cd,87,5d,31,93,25,d6,d6,38,48,bc,30,2b,7c,b5,0c,70,94,f7,c0,f2,2a,0d,\

a2,11,73,07,07,45,eb,a7,c3,4f,59,da,ff,cd,04,c4,b3,94,e8,55,e9,97,0f,55,a5,\

10,19,1e,eb,a5,18,9f,a7,c6,2e,c6,d0,7a,46,50,7f,f4,fd,c1,55,2d,19,03,72,2e,\

6f,62,73,be,e5,ac,88,dc,3e,b3,90,0a,dc,cc,fc,f6,54,ab,10,c4,b1,14,37,06,99,\

d1,07,2c,9a,cc,2f,24,c9,22,26,ce,7b,c4,75,f6,e6,e7,11,b3,0e,ae,14,7f,b5,19,\

bd,d2,24,d5,26,5b,96,63,b0,e2,d7,b0,a0,42,d0,a4,83,ed,8e,ff,a1,e6,91,05,52,\

ae,bb,05,bd,ae,7c,3d,9c,e1,a8,25,50,3e,54,6b,e5,3d,ed,6f,c7,53,4d,56,85,8d,\

e2,c0,ad,31,c0,c8,f2,8e,32,a9,98,e1,da,a8,e6,a4,91,5e,0b,d7,17,64,7b,f5,6d,\

ed,01,7e,14,21,b6,a6,f5,aa,74,0e,1d,da,34,d2,3b,43,63,e8,1f,1c,d7,7c,e6,35,\

4e,0c,be,a7,b9,da,ef,64,d9,ff,8c,b5,e8,0f,bc,f7,ff,8f,38,86,a2,15,76,03,91,\

cc,3d,eb,1e,11,ec,b9,ba,34,6c,e9,87,aa,62,e9,fa,5a,d1,96,7e,d4,29,0c,a2,70,\

0b,0e,58,52,ba,9b,d3,96,56,9c,6f,68,d1,68,55,fe,07,ce,3e,8c,7d,a7,04,3b,8a,\

07,e5,df,15,69,ce,99,86,58,0c,3b,b2,1e,5c,bd,66,9f,10,76,f3,d7,61,6e,77,44,\

55,d7,a2,4f,d0,ab,d0,48,23,81,9e,35,80,cc,e7,28,0d,f0,b0,c5,53,88,55,45,31,\

2c,31,73,31,bb,b8,05,6f,d6,6a,f0,57,28,7b,2e,01,fa,9d,0a,d4,0f,13,75,56,a3,\

94,47,d8,ca,92,78,80,1b,7c,eb,ab,e3,9b,d1,65,d0,65,0b,39,70,6e,db,fd,90,7c,\

92,c6,d3,94,41,3d,b4,f6,03,6c,0b,fb,da,27,91,ff,82,8c,5d,d5,18,32,cb,e3,cd,\

15,9e,e9,ef,b3,e0,c0,70,00,59,69,f9,e2,81,9a,5b,48,d9,9a,35,1c,d4,42,53,5c,\

87,3b,f0,fd,b6,14,00,00,00,0a,71,25,da,4f,9a,ca,bd,d5,00,25,76,ce,6b,93,12,\

5c,38,aa,32

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier]

"Asynchronous"=dword:00000000

"DllName"="WRLogonNTF.dll"

"Impersonate"=dword:00000001

"Lock"="WRLock"

"StartScreenSaver"="WRStartScreenSaver"

"StartShell"="WRStartShell"

"Startup"="WRStartup"

"StopScreenSaver"="WRStopScreenSaver"

"Unlock"="WRUnlock"

"Shutdown"="WRShutdown"

"Logoff"="WRLogoff"

"Logon"="WRLogon"

 

 

The following are the files found:

****************************************************************************

 

Registry Entries that were Deleted:

Please verify that the listing looks ok.

If there was something deleted wrongly there are backups in the backreg folder.

****************************************************************************

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"SV1"=""

****************************************************************************

Desktop.ini Contents:

****************************************************************************

 

****************************************************************************

Checking for L2MFix account(0=no 1=yes):

0

Zipping up files for submission:

zip warning: name not matched: dlls\*.*

 

zip error: Nothing to do! (backup.zip)

adding: backregs/notibac.reg (164 bytes security) (deflated 82%)

adding: backregs/shell.reg (164 bytes security) (deflated 74%)

[bruce lee]

re,

 

Ok maintenant réessaye ceci:

 

rend toi ici:

 

C:\Program Files\Fichiers communs\System\zDFX.exe

 

fais clique droit sur zDFX.exe et choisis unlocker puis dans la nouvelle fenetre qui s'affiche choisis "debloquer tout", essaye ensuite de faire analyse zDFX.exe chez JOTTI

 

@+

[WHYNOT8661]

re,

 

Ok maintenant réessaye ceci:

 

 

Je n'ai pas l'option "débloquer tout" chez unlocker : j'ai soit : aucune action / effacer / renommer ou déplacer ??? laquelle je choisis.

D'autre part je ne peux ouvrir "virusscan.jotti : le sablier reste bloqué ;;;;

[bruce lee]

re,

 

choisis deplacé et essaye de le faire analyser (si le lien fonctionne)

[WHYNOT8661]

re,

 

choisis deplacé et essaye de le faire analyser (si le lien fonctionne)

 

 

Je l'ai déplacé sur le bureau mais impossible de le faire analyser le lien ne s'ouvre pas (sablier bloqué).

[bruce lee]

re,

 

bizard... essaye celui la: http://www.virustotal.com/en/indexf.html

Modifié le 20 janvier 2007 par bruce lee

[WHYNOT8661]

re,

 

bizard... essaye celui la: http://www.virustotal.com/en/indexf.html

 

Voilà le rapport !

 

 

VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.

 

 

Select file : DistributeSSL

 

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:

News Hot news in the virus/antivirus sector.

Estadisticas Statistics of VirusTotal procesing.

Virustotal More info about Virustotal.

 

 

STATUS: FINISHEDComplete scanning result of "zDFX.exe", received in VirusTotal at 01.21.2007, 02:50:49 (CET).

 

Antivirus Version Update Result

AntiVir 7.3.0.26 01.21.2007 no virus found

Authentium 4.93.8 01.20.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.21.2007 no virus found

BitDefender 7.2 01.21.2007 no virus found

CAT-QuickHeal 9.00 01.20.2007 no virus found

ClamAV devel-20060426 01.20.2007 no virus found

DrWeb 4.33 01.21.2007 no virus found

eSafe 7.0.14.0 01.20.2007 no virus found

eTrust-InoculateIT 23.73.118 01.20.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.20.2007 no virus found

Fortinet 2.82.0.0 01.20.2007 no virus found

F-Prot 3.16f 01.20.2007 no virus found

F-Prot4 4.2.1.29 01.21.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 no virus found

Kaspersky 4.0.2.24 01.21.2007 no virus found

McAfee 4943 01.19.2007 no virus found

Microsoft 1.1904 01.21.2007 no virus found

NOD32v2 1993 01.20.2007 no virus found

Norman 5.80.02 01.20.2007 no virus found

Panda 9.0.0.4 01.20.2007 no virus found

Prevx1 V2 01.21.2007 no virus found

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.19.2007 no virus found

VBA32 3.11.2 01.20.2007 no virus found

VirusBuster 4.3.19:9 01.20.2007 no virus found

 

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

 

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

> Go to: Home Contactar En Español

--------------------------------------------------------------------------------

www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail [email protected]