Apollo

Ouais ton problème de Hosts reste entier. On va tenter une chose mais l'outil n'a plus été mis à jour depuis juin; c'est rien on essaie. Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches! Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection ! Télécharge SmitfraudFix sur ton bureau. Double-clique sur smitfraudfix.exe Sous Vista --> clic droit Exécuter en temps qu'administrateur. Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Ignore l'alerte de l'antivirus ou du firewall pour que l'outil puisse travailler. @++

Re, Comment va ta machine? Mieux? @++

Je plaisantais Je suis content d'avoir pu te sortir de là.

Antivir est très bon pour un gratuit (c'est le meilleur). Pour virer Norton, tu as cet outil: Remover Symantec/Norton Pour Firefox, je pense que tu devrais repartir sur des bases saines, c'est à dire le désinstaller, virer son dossier en Program Files et ailleurs s'ils existent, et le réinstaller. Opera est également un bon navigateur. Et si un jour, tu veux investir dans une solution de sécurité vraiment complète: http://www.kaspersky.com/fr/internet_security_trial Je dis investir, car ça l'est vraiment; je n'ai aucune infection depuis 4 ans qu'Eugène est sur ma machine... J'en ai qu'une alors j'y tiens... @++

Tout ça m'a l'air très bon! Tu pourras te débarrasser de DrWeb Cureit, car il change tous les jours et même plusieurs fois par jour. Il faut désactiver puis réactiver la restauration du système sur tous les lecteurs. J'ai une procédure pour Vista mais elle ne doit pas être très différente de Seven; je vais quand-même regarder si je trouve quelque-chose à ce sujet. Vista: désactiver la restauration du sytème J'espère que tu avais laissé la clé usb connectée pendant les analyses, il ne faudrait pas injecter Bagle sur l'autre pc Sinon il faudra l'analyser avec Antivir. Si tout te semble rentré dans l'ordre, veux-tu bien éditer ton premier post et changer le titre en: [Résolu] Bagle sur Seven 64 bits. Merci, cela pourra être une référence pour les gens qui cherchent une solution pour ce système *** Enfin, il serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner. Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5 Enregistre toi sur le forum à partir du bouton register en haut : Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) : Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10 Belgique: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35 Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Bagle. Pour poster un message, clique sur le bouton "post reply" et saisis les informations. NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic. NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI @+tard.

En tous cas, Kaspersky a trouvé ce que ComboFix et MBAM n'avaient pas vu (pas encore car ils évoluent). Gmer est aussi précieux. Si tu veux des renseignements sur ce tool: C'est par ici Qu'en dit le pc? Il y a amélioration? Je te suggère de relancer MBAM après mise à jour en analyse rapide. Fixe ce qu'il trouve et prends le rapport stp. @++

Ben ton firewall est endommagé, il va falloir le désinstaller/réinstaller. Online Armor Free (fr) Tuto: http://infomars.fr/forum/index.php?showtopic=1644 Pour ton fichier hosts, il me laisse encore perplexe; je vais un peu voir si le forum de Tesgaz existe encore, c'est un grand spécialise de ce domaine. Je te tiens au jus. Pour ton souci de session, je ne sais trop, il faudrait voir ça avec le forum Hardware ou Software ici-même sur zeb. @++

C'est bizarre ça Poste un nouveau log Hijackthis pour voir ça. @++

Comment va le pc? Le firewall que tu avais, tu peux le réinstaller? Si tu veux il y en a d'autres gratuits et performants. Celui de Windows se désactivera en principe à l'install d'un firewall tiers. @++

Il y a suspicion de modification du driver atapi.sys , on va contrôler ça. Télécharge TDSSKiller.exe et enregistre le sur le bureau et pas ailleurs. http://senduit.com/88c2df Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous: "%userprofile%\bureau\TDSSKiller.exe" -l TDSSlog.txt -v A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre. Un fichier TDSSlog.txt va apparaitre sur ton bureau. Ouvre le et poste l'intégralité de son contenu dans ta prochaine réponse. @++

Ca m'a l'air très satisfaisant. J'avoue que j'ai eu un peu les jetons aussi pour lancer l'option de nettoyage mais je ne pense pas que l'outil pouvait causer du tort; au pire il aurait échoué. On va toujours désinstaller FindyKill, et si besoin on le re téléchargera; il vaut toujours mieux avoir un outil bien mis à jour. Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" . Au menu principal choisis l'option " F " pour français et tape sur [entrée] . Au second menu Choisis l'option " 4 " (Désinstaller) et tape sur [entrée] Le pc a retrouvé ses esprits? Tu peux lancer une analyse complète avec Antivir mis à jour et poster son rapport stp. @++

Re, Comme chantait F.Mercury: 'it's a kind of magic' Non, c'est l'apprentissage journalier qui fait qu'on puisse arriver à désinfecter les machines des gens, car ne t'y trompe pas, je suis un internaute comme toi. Je suis un peu mieux informé, voilà Vista: désactiver la restauration du sytème Pense à la réactiver ensuite puis crée un nouveau point de restauration tout clean. Pour désinstaller les outils utilisés: Télécharger ToolsCleaner! pour enlever les programmes utilisés pendant la procédure. http://pc-system.fr/TC/ToolsCleaner2.exe * Enregistrer ToolsCleaner2.exe sur le Bureau. Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur * Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés ------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal ! * Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche. Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer. Fermez le programme en cliquant sur "Quitter ". Postez le rapport qui se trouve ici >>> C:\TCleaner.txt Options facultatives A utiliser si vous le souhaitez : Création d'un nouveau point de restauration (conseillé) Vidage de la corbeille Nettoyage de vos fichiers temporaires Mettre ToolsCleaner2 à la corbeille. Si tu estimes que tout est ok pour toi, Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.

Si tu sais lancer une analyse, fais-le. Quelle version d'Antivir as-tu? La dernière est la 9.0.074 Si tu n'as pas cette version, désinstalle le tien et installe le dernier : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe @++

Si c'est pas beau ça! Beau travail FindyKill semble avoir tout réparé, quel outil! Tu viens, sans le savoir me faire faire un grand pas sur les systèmes 64 bits, en tous cas pour ce qui concerne Bagle. Je t'en remercie Je dois encore te mettre en garde contre les cracks/keygens et autres téléchargements par logiciels P2P comme Emule et consorts, car si Bagle a réussi à s'installer de la sorte sur un système censé en être à l'abri, le monstre Virut peut venir par le même chemin, et cela se termine souvent par le formatage jusqu'à présent. Désinstalle Avast qui a été massacré par le virus et remplace-le par Antivir. Je pense qu'il serait mieux protégé avec Antivir. Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection). Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes Redémarre le PC pour achever la désinstallation Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française) PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre: Antivir te demande ce qu'il doit faire du fichier infecté. Choisis Déplacer en quarantaine puis clique sur OK. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller. *** On fera une analyse complète après MBAM mais il faut vite protéger la machine. Désinstalle MalwareBytes puis réinstalle-le, sans le renommer. (une nouvelle copie) http://www.malwarebytes.org/mbam/program/mbam-setup.exe Mets-le à jour (il devrait le faire seul à l'install) et lance une analyse rapide. On verra plus tard si on a besoin d'une complète, pour les clés usb etc. N'oublie pas de faire ceci: [*] A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. [*] Ferme tes navigateurs. [*] Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. [*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Si MBAM demande à redémarrer le pc, fais-le. !!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

Ok cecileux, on tente le coup /!\ Déconnecte toi et ferme toute application en cours ( navigateur compris ) . Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" . Au menu principal choisis l'option " F " pour français et tape sur [entrée] . Au second menu choisis l'option 2 (suppression) et tape sur [entrée] Le pc va redémarrer automatiquement ... Le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal ! --> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html @ + tard

Tant qu'à faire... Oui essaie Gmer en mode sans échec et en le lançant en temps qu'administrateur. Tu peux aussi désactiver l'UAC. (il ne faudra pas oublier de le réactiver plus tard). @++

Bonsoir, ComboFix et CatchMe auraient vu un rootkit et Kaspersky aussi. Le mieux serait de faire la recherche comme demandé sur l'autre page avec Gmer. @++

Rappelle moi pourquoi tu veux désactiver le pare-feu de Windows? Peux-tu lancer une analyse complète avec Antivir? Il n'y a pas de mises à jour où il ne sait pas la faire? Au cas où, tu peux la faire manuellement en attendant: Mises à jour manuelles d'Antivir Je vais un peu voir mes autres sujets @++

Ok je vérifie une chose puis je reviens; j'espère que tu as modifié le bon fichier. @tte EDIT: comme tu as pu le voir dans ma capture de l'icone du fichier hosts, celui-ci n'a pas d'extension, j'espère que tu ne t'es pas trompé de fichier.

Tu dois te tromper, ce n'est pas possible que ce dossier n'y soit pas. Clique sur démarrer/poste de travail, double clique sur C puis sur WINDOWS; Quand tu double clique sur Windows, tu dois ensuite double cliquer sur System32 et là tu verras drivers en minuscules. Ouvre ce dossier system32, et tu verras le dossier etc. et dans celui-ci hosts.

Il est dans le coin, je viens de voir son intervention sur un autre Bagle, et je sais que cette bébête l'intéresse beaucoup Moi aussi mais sur ce système il vaut mieux avoir deux avis qu'un seul.

Pour ComboFix, tu supprimeras les dossiers C:\qoobox et C:\combofix puis tu supprimes l'icône que tu as enregistrée dans dans Mes documents/téléchargements. C'est parce que tu ne l'a pas installé sur le bureau comme recommandé que la désinstall par l'outil lui-même ne fonctionne pas. Retiens bien ceci: Combofix doit obligatoirement être enregistré sur le bureau. Pour le dossier etc, si tu suis le bon chemin, tu dois le trouver: @++

Si j'achète un Seven (j'espère cette année) je ne veux pas de 64 bits Bagle est encore bien là le s****d. Il a bien modifié le registre mais on aura sa peau (j'espère). Je vais reconsulter Mark pour avoir une confirmation, je ne voudrais pas kasser un beau pc tout neuf. J'ai également essayé de contacter le papa de FindyKill mais il ne doit pas être dispo en cet instant. @+tard

Mais non tu n'es pas un boulet, quand tu as double cliqué sur Drivers tu dois repérer le dossier nommé etc. Tu le double clic et tu trouveras le fichier hosts en question. Tant que tu suis le bon chemin indiqué plus haut, tu devrais le trouver sans problème, il n'est pas caché. Si dans le clic droit sur le hosts, tu ne vois pas "ouvrir avec" (bloc note) il faudra alors double cliquer sur le hosts et Windows te demandera avec quel programme tu veux l'ouvrir: choisis bloc note puis fais ok. @++

Re, Ce que tu peux désinstaller par ajouter/supprimer des programmes, c'est comme ça qu'il faut le faire. Les entrées que tu vois dans Hijackthis n'existeront alors plus. HJT ne désinstalle pas les programmes, si je fais fixer une ligne 04, cela empêche seulement le programme de se lancer automatiquement au boot du pc, rien d'autre. @++