"Keylogger.trojan" Aidez-moi

[invite0f304edd]

Bonjour à tous,

J'ai grandement besoin de votre aide... C'est la catastrophe, j'ai eu l'ordinateur d'un ami à prêter pour faire des essais pour un futur achat, et je me suis pris un virus. Je n'ai pourtant rien téléchargé. Bref, il faut absolument que je puisse le retirer avant de lui rendre son pc portable.

Ce virus se dénomme "Keylogger.trojan" et a été détecté par Norton.

Aidez-moi, SVP...

Merci d'avance...
-----

[invite0f304edd]

pour info, il a infecté le fichier lol.dll

[JPL]

pour info, il a infecté le fichier lol.dll

Il a de l'humour, ce parasite ! lol !
Plus sérieusement il faut redémarrer Windows en mode sans échec et faire un scan du disque dans ce mode avec l'antivirus. Ton "virus" est un cheval de Troie qui espionne les frappes au clavier et peut donc transmettre à un pirate des mots de passe, numéros de carte bancaire, etc.

Pour information : il est strictement inutile de télécharger quelque chose pour avoir un virus. Il suffit de se connecter à Internet sans pare-feu ou de lire des messages contaminés avec une versions de Outlook Express qui n'est pas à jour.

[invite0f304edd]

Et si je fais un redémarrage en mode sans échec et que je fais un scan, il sera éliminer ??? Merci pour ton aide précieuse...

[A voir en vidéo sur Futura]

[invite0f304edd]

Vraiment désolé avec mes bêtes questions, mais comment je fais un redémarrage en mode sans échec sur ce portable ???? Merci

[invite5e6bd7a6]

Et si je fais un redémarrage en mode sans échec et que je fais un scan, il sera éliminer ?

Normalement oui.

C'est la catastrophe

Mais non, c'est juste un fichier contaminé qu'il faut supprimer.

Par contre débranche carrément la liaison Internet ou tu risques de rattraper un virus après l'analyse !

[invite5e6bd7a6]

Vraiment désolé avec mes bêtes questions, mais comment je fais un redémarrage en mode sans échec sur ce portable ???? Merci

Regarde lors du début démarrage, tu dois normalement voir des noms de touches à l'écran (souvent F8 ou F12). Appuies sur la touche correspondant au mode sans échec ou à l'utilitaire de démarrage pour choisir le mode de démarrage.

[invite0f304edd]

En fait, à chaque démarrage, Norton me disait : "Alert virus... Le fichier infecté a été supprimé." . Seulement, il me le fait à chaque démarrage ! Donc, apparement, ce fichier lol.dll réapparaît à chaque redémarrage, même si Norton l'avait enlevé auparavant. Mais bon, je vais essayer le mode sans échec, je vous dis quoi. MErci

[invite5e6bd7a6]

Et désactive la restauration système si tu es sous XP, ça t'évitera de le rattraper. Par contre c'est louche ce message à chaque démarrage... le virus n'est quand même pas re-téléchargé après chaque suppression ? En tout cas déconnecte bien la liaison au net pour être sûr de ne plus avoir de nouveaux vers/virus.

[JPL]

La répétition du message, c'est peut-être parce qu'il le trouve dans la restauration du système. En effet il faut à la fois le mode sans échec et l'arrêt de la restauration du système. Honte à moi.
Et puis il faut vider la quarantaine.

[invite0f304edd]

Merci pour tous tes conseils qui je l'espère vont fonctionner ! Comment je désactive la restauration ?

[invite5e6bd7a6]

Merci pour tous tes conseils qui je l'espère vont fonctionner ! Comment je désactive la restauration ?

Clique droit sur le Poste de Travail-> Propriétés-> Restauration du système-> Désactiver la restauration système.

[JPL]

Clic droit sur Poste de travail, Propriétés, Restauration du système.
Penser à remettre la restauration lorsque tout marchera normalement.

[invite0f304edd]

Sorry, mais je ne trouve pas comment faire le mode sans échec. Sur mon pc, il me suffit de faire F8, mais sur le portable, ça ne fonctionne pas... Que dois-je faire ?

[invite5e6bd7a6]

Tu es sous Windows XP ?

[invite0f304edd]

XP familial, oui...

[invite5e6bd7a6]

OK, donc tu cliques droit sur le Poste de travail puis dans les propriétés vas dans Avancé -> Paramètres (dans Démarrage et récupération) -> Modifier , et copie la ligne existante dans [OPERATING SYSTEMS].
Colle-là juste en dessous et ajoute-lui à la fin :

/safeboot:minimal /sos /bootlog

Remplace le nom entre guillemets "Windows XP ..." par "Mode sans échec" histoire de le repérer au démarrage.

Tu devrais donc avoir deux lignes ressemblant fortement à ça :

multi(0)disk(0)rdisk(0)partiti on(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
multi(0)disk(0)rdisk(0)partiti on(1)\WINDOWS="Mode sans échec" /fastdetect /safeboot:minimal /sos /bootlog (ligne du mode sans échec).

Si tu as ça (le nom entre guillemet doit être différent mais ne change rien pour la première ligne, garde le "Windows XP Home Edition" ou un truc du genre) enregistre les modifications en quittant et redémarre le PC. Tu auras 30 secondes au démarrage pour choisir le mode de démarrage donc tu sélectionnes "Mode sans échec" et tu lances Norton.

[invite0f304edd]

Ok, j'essaie ca... Un tout tout tout grand merci pour votre aide... J'espère que ce virus va s'en aller, je redémarre donc en mode sans échec et je scan...

Mais pour ne pas mourir idiot, pourquoi le virus serait-il enlevé en mode sans échec alors qu'en mode normal, il revient à chaque démarrage ?

[invite5e6bd7a6]

Mais pour ne pas mourir idiot, pourquoi le virus serait-il enlevé en mode sans échec alors qu'en mode normal, il revient à chaque démarrage ?

Je ne suis pas sûr qu'il revienne à chaque démarrage mais c'est plutôt un bug tant qu'il est sur le PC. En tout cas désactive la restauration système. Et le mode sans échec est idéal pour la suppression des virus puisqu'ils ne sont pas chargés en mémoire vive donc ils sont suppressibles par l'antivirus. Par contre conseil à ton copain d'installer un firewall à l'avenir.

[invite0f304edd]

Bien que j'aie scrupuleusement respecté la démarche que vous m'avez indiquée, le virus est tjs là. J'ai bien décoché la restauration du système, puis j'ai fait un redémarrage en mode sans échec et ai effectué un scan avec norton. Il a bien détecté le virus et la "soi-disant" supprimé. Lorsque j'ai redémarré le portable, de nouveau : "Alerte virus" ! Et en effet, le fichier lol.dll, que l'antivirus avait soi-disant effacé est tjs là, dans le répertoire c:\windows\system32\

Que faire ? Il faut que je trouve une solution... Merci d'avance...

[invite5e6bd7a6]

bon il devient lourd ce virus !
je propose que tu remplace le fichier lol.dll par un faux : vas dans les options de l'explorateur Windows et active l'affichage des extensions fichiers. Ensuite crée un nouveau document texte et n'écrit rien dedans. Tu as donc "Nouveau document texte.txt", renomme ce fichier avec "lol.dll" puis copie le dans le répertoire c:\windows\system32\ en acceptant d'écraser l'autre fichier.

Par contre fais d'abord une recherche de lol.dll en activant la recherche dans les fichiers cachés parce que le problème vient peut-être simplement d'un bug de norton.

[invite5e6bd7a6]

Et en effet, le fichier lol.dll, que l'antivirus avait soi-disant effacé est tjs là, dans le répertoire c:\windows\system32

ah désolé je n'avais pas fait attention. Donc le fichier est encore bien présent, tu en es sûr ?

Voilà ce que j'ai trouvé avec Google (ici pour la page entière ) :

W32/Francette-K permet à l'utilisateur malveillant d'accéder à distance à l'ordinateur infecté.

Et pour la guérison :

Veuillez suivre les instructions de suppression des vers.

Téléchargez et installez le correctif de Microsoft mentionné précédemment.


Changez toutes les données qui peuvent avoir été compromises.


Windows NT/2000/XP


Dans Windows NT/2000/XP vous devez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.


Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.


Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.


Recherchez l'entrée HKEY_LOCAL_MACHINE :


HKLM\Software\Microsoft\Window s\CurrentVersion\Run\Microsoft IIS


et supprimez-la si elle existe.


Fermez l'éditeur du registre.

[invite0f304edd]

oui, en effet, ce virus commence sérieusement à être lourd...

Je viens d'essayer ton truc, j'ai bien créer le fichier txt, puis je l'ai renommé, mais impossible de le copier et d'écraser l'autre : "accès refusé - Vérifiez que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement"

[invite0f304edd]

Je viens de voir ta solution google... Je peux essayer aussi

[invite0f304edd]

Mais je ne pourrais supprimé ce qui est marqué sur ta soluce google, ce répertoire n'existe pas qd je le cherche dans regedit.

[doryphore]

Tiendez :

http://securityresponse1.symantec.co...er.trojan.html

[invite5e6bd7a6]

J'avais déjà tenté mais le lien est visiblement mort.

[doryphore]

Eh bien là, il marche.
Sinon, je vous envoie une copie de la procédure sur le forum ??

[invite0f304edd]

Je suis vraiment désolé mais moi et l'anglais... ca fait 2 !

Franchement, je désespère de pouvoir l'enlever ce fichu virus...

Un tout grand merci à tout ceux qui m'ont aidé !

[doryphore]

Prends google, tape: keylogger.trojan symantec

puis pour le premier lien tape [traduire cette page].
La traduction ne sera pas parfaite mais compréhensible et si tu as un doute, tu peux toujours me le demander.