Un ami rencontre actuellement un problème : des pop-up ne cessent d'apparaître (vers des sites publicitaires). Il semblerait que ce soit Look2Me, mais je n'en suis pas sûr.
Il ne peut plus accéder aux paramètres de son pare-feu (son accès est interdit pour une raison inconnue, dixit Windows).
J'ai passé Spybot et Ad-aware en mode sans échec. Ça ne change rien, et il reste encore des spyware insupprimables. À noter que si je lance une recherche dans la base de registres, cela produit une erreur fatale (ce troyen ferait-il cela ?) et que la suppression de la clé Winlogon qui charge une dll ne change rien. Au redémarrage de l'ordinateur, elle y est à nouveau, vers une dll différente.
Je ne sais que faire pour supprimer ce troyen...
Ci-dessous les lgos d'HijackThis.
D'avance merci pour votre aide.
Iulius
Logfile of HijackThis v1.99.1 Scan saved at 21:59:44, on 08/12/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>>O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\enjml1111.dll > Bingo. Cherchez enjml1111.dll et i660lgjm16oa.dll, ce sont deux merdes.
En fait, il y en a beaucoup plus que cela dans le répertoire C:\WINDOWS\system32\ ! Il y en a plusieurs dizaines avec des noms aussi bizarres (ne voulant rien dire, mélangeant chiffres et lettres...). Ce nom change à chaque redémarrage dans le Winlogon [j'ai donc l'impression qu'il y a autant de tels fichiers que de fois où Windows est lancé].
> Mais il est possible que le PC soit victime d'infections multiples.
Oui, il y en avait pas mal ; j'ai désinfecté pas mal de choses et il semble qu'il n'y ait plus que ce seul problème [les pop-up lancées par cet ad-ware vraiment vicieux].
> Un cheval de Troie se cache parfois derrière TikGames.
Je l'ai supprimé depuis la date des logs de HijackThis que j'ai mis ici.
> Mettez à jour Acrobat. La 6.0 est obsolète, dangereuse et lente.
OK ; merci pour le conseil. Ce n'est pas mon ordinateur, mais celui d'un ami.
>En fait, il y en a beaucoup plus que cela dans le répertoire >C:\WINDOWS\system32\ ! >Il y en a plusieurs dizaines avec des noms aussi bizarres (ne voulant >rien dire, mélangeant chiffres et lettres...).
Normal : enjml1111.dll est la source, les autres sont créés au fil des redémarrages.
Il est probable que vous ayez été victime d'une contamination par Look2Me, voir la page en lien (et en anglais) pour plus d'explications et un outil de nettoyage.
> Il est probable que vous ayez été victime d'une contamination par Look2Me, > voir la page en lien (et en anglais) pour plus d'explications et un outil de > nettoyage. > http://securityresponse.symantec.com/av … ok2me.html
Je vous remercie pour le lien. Je l'ai transmis à la personne intéressée.
Le logiciel de désinfection a été exécuté mais il a dit qu'il n'y avait aucune trace de Look2Me... Le problème de pop-ups est toujours existant.
Peut-être est-ce une variante « résistante » de Look2Me ? Car cette clé dans la base de registres (Winlogon) est source des maux, je présume. Mais je ne parviens pas à la supprimer.
L'accès au pare-feu est aussi impossible (il doit être désactivé par ce ver) et la recherche dans la base de registres !
-- Iulius
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite.virus
Sécuriser ses échanges électroniques avec une PKI Par Thierry Autret, Laurent Bellefin, Marie-Laure Oble-Laffaire (Eyrolles) Les lecteurs de ce livre lui attribuent une note moyenne de 4/5.<
/font>
Message de François Yves Le Gal (flegal@aingeal.com) (15 Décembre 2005)
Les lecteurs de ce livre lui attribuent une note moyenne de 5/5.<
/font>
Les lecteurs de ce livre lui attribuent une note moyenne de 4/5.<
/font>