Mark

Bonjour agenor47 D'après ce rapport, l'infection n'est ni active ni présente, mais Bagle peut surprendre alors nous allons procéder méthodiquement : Tout d'abord, je constate la présence de deux antivirus sur la machine : McAfee et Spyware Doctor (avec antivirus). Ceci est mauvais, car deux antivirus sur une même machine entrent en compétition pour le même boulot et peuvent causer des conflits, des crashs mais surtout une baisse globale de la protection antivirale. Il faudra en désinstaller un tout de suite ; tu l'auras constaté, ni McAfee ni Spyware Doctor n'aura su protéger la machine contre Bagle. De plus, Bagle a la fâcheuse habitude de détruire tout antivirus et pare-feu sur sa route, alors il faudrait désinstaller/réinstaller celui de ton choix de toute façon. Cela dit... désinstalle les deux antivirus tout de suite et je t'en fais installer un nouveau, AntiVir, et tu pourras faire un choix définitif lorsque le nettoyage sera terminé. Un peu la même chose pour les anti-spywares présents sur la machine : il y en a beaucoup trop... et pas les meilleurs (Spyware Doctor, SpySweeper, Windows Defender, a-squared...) ; on fera du ménage plus tard. La suite plus bas. Outpost, ton pare-feu, est probablement détruit partiellement et il pourrait être la cause des problèmes de connexion. Il faut donc le désinstaller lui aussi, temporairement, et on verra après. Voici la séquence que je te propose : ========== Télécharge le fichier d'installation d'AntiVir (version gratuite) du lien suivant : http://www.01net.com/telecharger/windows/S...ches/13198.html > Tu peux déjà transporter ce fichier sur le Bureau du PC infecté. Ne l'installe pas tout de suite. ~~~~~~~ Il y a un fichier, un crack en fait, que j'aimerais bien regarder de plus près, juste au cas où il serait nouveau. Pour me l'expédier, voici comment faire : - Sur le PC infecté, retrouve le fichier suivant : G:\Ma Musique\Musique_genres\Logiciels\Cracks Keygen\Photoshop cs\Patch.exe > Fais un clic droit sur le fichier (Patch.exe) et choisis "Envoyer vers" > "Dossier compressé" > Un nouveau fichier .zip sera créé dans le dossier Photoshop cs, nommé Patch.zip ; > Transporte ce fichier vers ta machine fonctionnelle (sur clé USB par exemple) ; ** Si ton antivirus aboie à la vue de ce fichier, dis-lui d'ignorer > Va maintenant sur le site de Senduit (hébergeur de fichiers gratuit) : http://www.senduit.com/ > Clique sur le bouton "Parcourir..." et retrouve le fichier Patch.zip à l'endroit où tu l'as déposé ; > Double-clique dessus pour le sélectionner ; > Avant de cliquer sur "Upload", modifie l'option "Expire in:" (au dessous) à "3 days" ; > Clique maintenant sur "Upload" et attends la fin du transfert ; > Lorsque terminé, une adresse (URL) apparaîtra à l'écran (en bleue) ; copie/colle cette adresse dans un fichier du Bloc notes pour t'assurer de la conserver ; > Reviens ici, clique sur mon profil (à gauche) et envoie-moi un message perso avec l'adresse obtenue via Senduit, s'il te plait. Je ne veux pas que l'adresse soit collée sur le forum simplement parce que je ne veux pas risquer d'infecter un visiteur inexpérimenté et/ou trop curieux.. Merci > Tu peux maintenant supprimer le fichier, sur ta machine saine et sur la clé USB aussi. ==== Maintenant, sur la machine infectée : 1) Désinstalle Spyware Doctor, McAfee et Outpost. Il le faut. On remettra ceux de ton choix après, si pertinent. Ne sois pas inquiet de te retrouver sans pare-feu pendant quelques heures, même si ces mystérieux paquets passent, on y verra. Tu devras sans doute faire un ou deux redémarrages pour compléter les désinstallations. 2) Installe maintenant AntiVir en lançant le fichier d'installation. Installe-le avec les paramètres par défaut. Il fera la mise à jour en fin de routine et t'offrira de faire une analyse complète : accepte. Lorsque l'analyse sera complétée, le programme te demandera de cliquer pour réparer tout ce qui a été trouvé : valide/accepte. Lorsque le nettoyage sera terminé, un rapport apparaîtra à l'écran : sauvegarde-le sur le Bureau. 3) Essaie maintenant ta connexion sur la machine infectée. Si ça fonctionne, viens ici directement et colle-nous le rapport d'AntiVir. Si ça coince toujours, transporte le rapport sur l'autre machine puis colle-le ici, s'il te plait ** Si jamais Bagle s'est déchainé durant ces opérations, ce qui n'est pas impossible, alors tu n'auras qu'à lancer FindyKill à nouveau, avec l'option #2 directement. Mais juste si tu n'as pas réussi à installer et lancer AntiVir. J'attends donc : - Ton message perso avec adresse vers le fichier louche. - Le rapport d'AntiVir dans ta prochaine réponse ici. Ou celui de FindyKill si AntiVir ne tourne pas. À bientôt, Mark

Désolé de poster aussi rapidement, mais je dois quitter dans 5 minutes alors je te donne la suite immédiatement : D'après ce que tu me dis, Bagle est toujours là mais partiellement bloqué ; FindyKill ne l'a pas vu au moment du scan. Pas de soucis, voici quoi faire : Relance FindyKill et choisis l'option #2 (nettoyage). Laisse-toi guider. Un rapport sera créé en fin de routine : copie/colle son contenu ici, dans ta réponse. Je repasserai mais seulement dans plusieurs heures. Si la machine va mieux suite au passage de FindyKill, attends mon retour avant de permettre à quiconque de surfer avec cette dernière, si possible. Merci et @+

Tu as été plus rapide que moi Merci pour le rapport. Les fichiers .zip touchés ne sont pas... disons... désirables, mais on va tout de même les désinfecter avant de prendre la décision ultime, ceci pour éviter toute réinfection de Bagle : Lance l'outil ZSc.exe par double-clic et accepte son exécution. Clique maintenant sur le bouton "Scan", au bas à gauche. En fin d'analyse, un rapport apparaîtra à l'écran; prière de fermer ce fichier (mais pas l'outil). De retour à la fenêtre de l'outil, clique sur le bouton "Disinfect" ("Delete" sera et doit être coché, sous ce bouton). Zip_Scan supprimera maintenant les fichiers infectés trouvés; ceci ne durera que quelques secondes. Un rapport apparaîtra à l'écran en fin de routine; ce rapport est également sauvegardé sur ton Bureau (kill.txt) Copie/colle le contenu intégral de ce rapport ici, dans ta réponse. Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit". ===== Parle-moi aussi de la connection : elle fonctionne ? Ton pare-feu fonctionne-t-il également ? @+

Rebonsoir Ta réponse ne contient qu'une citation de mon message. Tu es nouveau sur le forum, pas de soucis. Tu n'auras qu'à cliquer sur le bouton "Répondre", mais pas celui à côté de "Citer" ; l'autre en dessous, entre "Flash" et "Nouveau". Ceci te donnera une fenêtre de rédaction sans citation du message précédent. À te lire

Bonsoir agenor47 ; je te souhaite la bienvenue sur nos forums Bagle a été tué, selon le rapport de FindyKill. De plus, si Bagle avait été actif, tu n'aurais pas pu poster sur le forum de désinfection ici car Bagle le bloque activement (le navigateur se ferme, impossible de venir ici). Bref, un outil a permis d'éradiquer Bagle ; tu peux me dire lequel et quand ? C'est juste pour savoir Il y a une belle collection de cracks sur la machine, effectivement. On y verra. McAfee est actif et fonctionne bien ? je demande car Bagle est connu pour détruire les antivirus, partiellement mais juste assez pour les rendre inefficaces. On y verra aussi, car j'aimerais bien t'en proposer un autre, plus efficace. Je vais juste te demander d'attendre avant de faire quoique ce soit avec l'antivirus car nous devons regarder un autre truc avant ; des fichiers .zip légitimes pourraient être infectés et il faut vérifier tout de suite : Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau : http://eric71.geekstogo.com/beta/ZSc.exe Lance l'outil ZSc.exe par double-clic et accepte son exécution. Clique maintenant sur le bouton "Scan", au bas à gauche. Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection; Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt) Copie/colle le contenu intégral de ce rapport ici, dans ta réponse. Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite. Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse. @+ Mark

Oké, je te fais un topo rapide ; ComboFix fait partie des outils dits "spéciaux", loin d'être destiné au grand public. Sur les forums, il est beaucoup utilisé car très polyvalent, c'est vrai. Par contre, les gens qui l'utilisent (ici et sur pas mal de forums) sont formés et ont accès à des informations pertinentes et essentielles à son utilisation. Pour en arriver là, il faut d'abord connaître les bases du système d'exploitation, du registre, les bases en identification d'infections et en désinfection. ComboFix vient au dernier rang dans l'apprentissage. Il change souvent et rapidement, tout comme les bestioles, donc il faut savoir l'utiliser avec le maximum de sécurité pour les victimes afin de ne pas mettre les machines en danger. Les liens sont publics et n'importe qui peut le passer - vrai aussi. Sur les forums, nous avons un code de conduite qui nous vient directement du créateur et nous nous efforçons de le manier avec soin, au maximum de son potentiel, tout en évitant les risques. Si quelque chose ne va pas, nous pouvons demander de l'aide "au sommet", rapidement. Impossible de brûler les étapes, le câdre est solide. Les gens qui décident d'utiliser cet outil ou autre dit "spécial" sans formation mettent les machines d'autrui - ou la leur - en péril, tout simplement. Comment faire pour se former : démontrer une bonne volonté, une bonne attitude, un respect de la nétiquette, des autres et se montrer prêt à suivre un programme de formation qui dure souvent plusieurs mois (rarement moins de 6). Cela t'éclaire-t-il un peu ? @+

Salut Ali007; Je te souhaite la bienvenue sur le forum ainsi qu'une Bonne Année 2010 Pour répondre simplement à ta question : non, tu ne trouveras pas de tuto ou d'explications sur le fonctionnement de ComboFix, en public. La raison : l'outil est complexe et puissant. Seuls les gens formés à son utilisation pourront te guider, c'est-à-dire les bénévoles (ici) des groupes Junior Sécu et Équipe Sécu. Cela dit, tu peux bien évidemment coller le rapport de l'outil ici, si tu l'as déjà passé, et nous expliquer ce qui ne va pas avec la machine (signes, symptômes, etc...). Edit : s'il ne s'agit pas de ta machine qui est infectée mais plutôt d'un désir de connaître ComboFix, là, c'est différent... @+

Tu sais, le mien il est toujours comme ça Je ne pense pas qu'un retour sur les risques soit nécessaire. Juste un complément au sujet des nouveaux Bagles, depuis Novembre : non seulement il permet le contrôle à distance de ta machine, il bloque maintenant plus d'outils et de sites qu'avant ; sans mentionner tout le reste qui existait déjà (destruction des protections, mise en réseau sur eMule sans ton consentement, etc...). Il y a bien pire que Bagle qui circule en ce moment, via les sites de cracks et le P2P, principalement. Les malfaiteurs utilisent ces vecteurs sans remords et sans relâche. À méditer... ~~~~~~~~~~~~~~~~~~ Ça m'a l'air tout bon maintenant Tu peux supprimer Jack et son rapport ; il ne t'en tiendra pas rigueur (voir plus bas pour la ligne de MegaUpload) Fix.reg peut décoller aussi, si encore présent. Je crois que c'est tout pour le ménage. Conserve Malwarebytes' Anti-Malware pour des analyses périodiques ; la version Free ne fait les MAJ en auto mais tu peux les faire manuellement via l'onglet "Mise à jour", ensuite tu fais une analyse rapide, à la fréquence de ton choix. Conserve AntiVir et maintiens-le à jour, surtout. Tu devrais passer au SP3 pour XP. Plus important encore : IE version 6 est une vraie passoire à bestioles. Tu dois passer à la version 8 ; cette recommendation tient même pour les gens qui n'utilisent pas IE, car les vulnérabilités s'exploitent à travers les navigateurs et IE fait partie intégrante de Windows. La ligne pour MegaUpload : bah, c'est pas grave si tu la laisses. Si tu la "fixes" avec Jack, il te fera une sauvegarde, de toute façon. Afin de mieux gérer cette sauvegarde, je te conseille de déplacer Jack dans un dossier bien à lui par contre, sinon la sauvegarde sera créée directement sur ton Bureau et c'est plutôt encombrant. Si lancé à partir d'un dossier, la sauvegarde sera créée dans ce dossier. Voilà c'est tout Bon surf, prudence et que du bonheur avec la machine ! @+ Mark

Bonjour ! Bon c'est pas grave pour AntiVir et cette deuxième ronde de détections ; il s'agit de fichiers dans la Restau et là il ne devrait plus y en avoir. On va te vider la Restau bientôt, de toute façon. J'ai pourtant pas la berlue : avant d'éteindre pour le dodo, j'ai vu ton post où te me parlais de fichiers en double qu'AntiVir ne voyait qu'à un endroit (des trucs dans D:\Logiciels ou quelque chose comme ça...) ; tu as édité le tout. Ça va de ce côté ? Merci pour le fichier AntiVir ont fait la MAJ pendant mon dodo : http://www.virustotal.com/fr/analisis/81dc...2f12-1259930807 Ce simple fichier n'est pas une grosse menace ; c'est un reste d'infection, dans ton cas. Mais il était invoqué par rundll32 alors ça expliquerait les pointes de CPU. On va terminer le ménage, pour lui : - Clique sur le bouton "Démarrer" > "Exécuter..." puis tape cmd et clique "OK" ; - Dans la fenêtre DOS qui s'ouvre, copie/colle les deux lignes en gras suivantes, une à une, en validant avec [Entrée] après chacune (si tu obtiens une erreur après la première, pas grave, poursuis avec la seconde) : sc stop voicepad32 [Entrée] sc delete voicepad32 [Entrée] Voilà, tu devrais avoir une confirmation après la seconde ligne. Quitte la fenêtre DOS en cliquant le "X" (haut à droite) ou bien tape exit et valide. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ On va regarder avec HijackThis s'il reste une clé de registre à virer : Télécharge HijackThis du lien suivant et sauvegarde-le sur ton Bureau : http://go.trendmicro.com/free-tools/hijack.../HijackThis.exe Lance-le et clique "Do a system scan and save a logfile" ; Après quelques secondes, un rapport apparaîtra à l'écran ; Copie/colle son contenu ici, pour vérification. @+

Merci Peux-tu le mettre dans un .zip pour moi ? Clic droit sur le fichier > "Envoyer vers" > "Dossier compressé". Ensuite, va sur Senduit comme la dernière fois : http://www.senduit.com/ Mettre l'option "Expire in:" à "3 days" et "Upload". Si tu pouvais me refiler le lien vers le fichier, par messagerie perso, j'apprécierais Je vais le refiler aux éditeurs d'antivirus qui ne le voient toujours pas. Ensuite, tu peux supprimer le fichier, s'il accepte de quitter bien sûr. Sinon, il faudra un peu de muscle (j'y reviendrai). Tu peux également supprimer le .zip après l'upload. Il restera un peu de ménage à faire dans le registre, mais là je dois aller me coucher. Je repasse plus tard en journée. @+

Dis donc, tu ne chômes pas, toi ? Héhé. Bien joué pour ActiveSynch, même si tu ne l'utilises plus. Je garde l'astuce au chaud, si jamais. Pour répondre à tes questions, enfin j'espère pouvoir le faire. Dans le désordre le plus complet : Cette histoire de Hal.dll manquant suite à la désinstallation du logiciel, suivie d'un "nettoyage" par Glary Utilities... Je ne le dirai jamais assez souvent : les nettoyeurs de registre sont dangereux. À moins d'avis contraire (pas d'anecdotes, please..), c'est Glary qui t'a planté ta machine. Heureusement que tu as trouvé ce tuto, pour bootcfg via la Console, sinon c'était le formatage avec perte de tout-tout. Je ne pointe pas que Glary là : tous les nettoyeurs de registre sont dangereux, CCleaner et toute la bande compris, Free ou payants. La raison est simple : le registre de Windows est trop complexe, il y a trop de dépendances... Aucun soft ne peut le nettoyer sécuritairement. Ce genre de problème n'est pas nécessairement fréquent, mais il existe et j'en vois plus ou moins régulièrement sur les forums. Oké je me calme là... Le cas de EOUWiz.exe : c'est bizarre, il n'était pas infecté lors de ton passage en Octobre. On dirait qu'il y aurait eu réinfection suite à ton passage, ce qui n'est pas impossible vu la présence de Bagle dans ActiveSync. C'est pas compliqué : dès que winupgro est autorisé à se lancer, il remplace tout de suite un processus légitime, lancé au démarrage, pris au hasard, alors EOUWiz.exe a été remplacé après ta visite d'Octobre. Autre chose au sujet de Bagle vs le Wi-Fi : l'infection désactive le Wi-Fi sur les machines infectées et ceci n'a rien à voir avec le réinfecteur. Après nettoyage, il faut réactiver le Wi-Fi. Mais bon tout est réglé pour toi maintenant, alors on passe à autre chose. Les détections d'AntiVir : je t'avais pourtant spécifié dès le départ que tu devrais tout mettre en quarantaine. Chose que tu n'as pas faite ; soit parce qu'il y avait des softs précieux dans le lot, soit parce que tu as lu un peu vite Bref, tout ce qu'a trouvé AntiVir peut être mis en quarantaine. Ne pas le faire, c'est jouer avec le feu. Pour rundll32 : j'ai regardé dans tes rapports d'Octobre vs ce que montre Process Explorer : ..et dans un autre rapport : Tantôt arrêté, tantôt en marche, plutôt furtif. Ça sent vraiment pas bon ce truc. Peux-tu me faire une recherche pour le fichier ? voicepad32.dll Je pense qu'il se trouvera dans C:\WINDOWS\System32. Si tu le trouves... note son emplacement, puis fais ceci : - Il faut tout d'abord démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier voicepad32.dll à l'endroit noté ; - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. @+

Ah là je vois, pour le Samsung. Non, ne le désinstalle pas... surtout s'il fonctionne bien. Là je dois filer >>>>>>>>>>

J'ai dû quitter quelques instants et devrai quitter pour quelques heures là. Non, ne supprime rien du dossier Samsung... je me demande même si ce logiciel n'installerait pas ActiveSync lui-même (possible). Essaie ceci : désinstalle le logiciel Samsung, puis ré-installe-le. Assure-toi qu'il n'y a rien de branché aux ports USB, sauf si le programme d'installation te demande de connecter quelque chose, bien sûr. Je repasse en fin de soirée pour la suite (ton gestionnaire Wi-Fi dans la mire). @+

Je te vois au bas... Autre chose à tenter, si ça ne marche toujours pas (ActiveSync) : >> Débranche tout ce qui est en USB et retente l'installation d'ActiveSync. Très important si tu as des trucs du genre modem USB ou dispositif BlueTooth, par exemple. Tout ce qui est branché, qui utilise un protocol réseau, bloquera toute tentative d'installation ou désintallation d'ActiveSync... À suivre.

Bonsoir Norimael ; Mouin. J'aime pas ActiveSync, finalement. Dans un post précédent, je t'avais demandé de désinstaller "Microsoft ActiveSync 4.0", mais tu as dû prendre une mise à jour depuis Octobre, vers la 4.2. Pas grave, car Bagle l'avait massacré de toute façon. Bagle a également foutu un réinfecteur dans ton truc Wi-Fi : Ce fichier détecté par AntiVir est un imposteur : un autre winupgro.exe renommé. Je vais regarder ça un peu plus tard... Pour ActiveSync maintenant. Je poursuis les recherches et j'ai une autre piste : - Supprime manuellement les deux fichiers suivants, si présents : C:\WINDOWS\System32\RAPI.DLL C:\WINDOWS\System32\CEUTIL.DLL (possible qu'ils soient en minuscules - c'est le nom qui importe). Ré-essaie pour l'installation de la version 4.5 maintenant. @+

Alors, tu attires vraiment les complications... Évidemment, ça aurait été trop facile, du premier coup. Merci pour le rapport d'AntiVir ; on y reviendra. Il semble qu'ActiveSync se désinstalle plutôt mal, via le désinstallateur intégré. Il faudra nettoyer un peu à la main... Si tu as encore une ligne pour ActiveSync dans "Ajouts/Suppressions de programmes", refais la désinstallation. Ensuite... - Supprime le répertoire suivant, à la main : C:\Program Files\Microsoft ActiveSync << Ensuite, télécharge le fichier suivant (Fix.reg) sur ton Bureau : http://senduit.com/220a87 - Lance le fichier "Fix.reg" par double clic et autorise son exécution. Accepte la fusion avec le registre. - Redémarre la machine, puis tente l'installation d'ActiveSync 4.5 à nouveau. @+

Oké. Lance AntiVir en double-cliquant sur le parapluie : - À gauche, tu verras un menu "Aperçu" : clique sur "Rapports" ; - Tu verras quelques lignes dans la fenêtre de droite : double-clique sur celle du haut (plus récent) ; - Le rapport devrait s'ouvrir : copie/colle son contenu ici. ======== Pour ActiveSync, du lien que je t'ai donné. Pas évident... Tu dois d'abord cliquer sur "Continuer" et là tu as le choix de t'inscrire ou pas (optionnel). Si tu coches "Non, je ne souhaite pas mInscrire...", tu cliques ensuite sur "Continuer". Là, sur la nouvelle page, tu vas au bas et tu télécharges le fichier "setup.msi" uniquement... C'est l'installateur du programme. @+

Excellent Le scan d'AntiVir peut être long, c'est normal. Pour les "avertissements", pas de soucis, ce sont généralement des fichiers du système qu'il ne peut pas ouvrir. Pour ActiveSync : je pense que la meilleure approche est de désinstaller celui que tu as (version 4.0) et ensuite d'installer la nouvelle version (4.5) : Lorsqu'AntiVir aura terminé et que tu auras posté son rapport : - Va dans le Panneau de Config, Ajouts/Suppressions de programmes, et désinstalle/supprime le programme suivant : Microsoft ActiveSync 4.0 Ensuite, télécharge et installe la nouvelle version : http://www.microsoft.com/downloads/details...;DisplayLang=fr Essaie de synchroniser le Samsung à présent... @+

Cool Je serai là encore quelques temps. Je vais débuter les recherches pour un fichier de synchro. Tu peux supprimer l'outil Zip_Scan dès maintenant. @+

Bonjour Norimael Excellent boulot ! Merci pour le logiciel Samsung, qui est clean. J'ai cru un moment que ça pouvait être lui, mais ce n'était pas du tout logique. Un logiciel officiel, d'une grande marque, ne peut pas être vecteur d'infection ; surtout pas pour une bestiole de ce genre... J'avais supposé que tu avais peut-être gravé le truc toi-même sur CD et que Bagle l'avait injecté au passage, etc... Non-non, ce n'est pas lui. J'avais aussi regardé ton sujet d'Octobre, en espérant y voir le réinfecteur ; je ne l'ai pas vu, hier, mais là je le vois (d'Octobre) : [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] C:\Program Files\Microsoft ActiveSync\wcescomm.exe [2009-10-18 901120] La taille du fichier ne ment pas, c'est Bagle, qui a remplacé le fichier de synchro de Windows par son infecteur principal (winupgro.exe) Je ne l'ai pas repéré avant maintenant car tu l'avais désactivé via msconfig après avoir été infectée, donc il a échappé à tout le monde, même aux outils... Comme tu n'avais pas réussi à mettre AntiVir à jour en Octobre, le réinfecteur est resté sur ta machine tout ce temps-là, pour ensuite être réactivé lors du lancement du soft de synchro, à l'installation du logiciel Samsung. Intéressant, non ? ======================== Oké, avant de lancer une analyse complète avec AntiVir, je vais te demander de passer un autre outil, juste au cas où tu aurais des fichiers .zip infectés par Bagle. À noter : tu pourras laisser AntiVir mettre tout ce qu'il trouve en quarantaine, y compris ce TubeMaster.exe Mais pas tout de suite ; ceci d'abord : * Désactive le bouclier d'AntiVir temporairement, sinon il pourrait te bouffer des fichiers .zip si l'outil ci-bas en repère. Pour désactiver : clic droit sur le parapluie, près de l'horloge, et clique une fois sur "Activer AntiVir Guard". Ceci décochera la ligne = bouclier inactif et le parapluie se refermera. Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau : http://eric71.geekstogo.com/beta/ZSc.exe Lance l'outil ZSc.exe par double-clic et accepte son exécution. Clique maintenant sur le bouton "Scan", au bas à gauche. Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection; Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt) Copie/colle le contenu intégral de ce rapport ici, dans ta réponse. Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite. Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse. * Réactive le bouclier d'AntiVir : même méthode que pour sa désactivation et le parapluie va s'ouvrir. Si Zip_Scan trouve quelque chose, poste son rapport ici s'il te plaît, et je te donnerai la suite des manipulations. S'il ne trouve rien, lance une analyse complète avec AntiVir tout de suite, puis poste son rapport dans ta réponse. Edit : j'allais oublié... un petit détail. La synchro ne fonctionnera plus, car Bagle a détruit wcescomm.exe Il faudra te trouver une copie de ce fichier, pour remplacer. On s'en reparle... @toute Mark

Wow. Du jamais vu pour moi. Il semble vraiment y avoir un lien avec ce logiciel Samsung, mais j'ai toujours un petit doute. On va regarder ça de plus près... Je vais te demander de m'expédier une copie de ce truc (Samsung) et je vais tester ici. Le logiciel est sur un CD alors il faudra bidouiller un brin - Place le CD du logiciel dans le lecteur : s'il veut s'exécuter automatiquement, clique "Annuler". - Ouvre le Poste de Travail, puis fais un clic droit sur le lecteur CD et choisis "Explorer" ; - Une fenêtre s'ouvrira avec le contenu du CD (les fichiers) ; - Repère le fichier d'installation du logiciel (quelque chose comme "Install.exe" ou "Setup.exe") ; - Fais un "Copier/Coller" de ce fichier vers ton Bureau. Fais maintenant un clic droit sur le fichier en question, qui est sur le Bureau, et choisis : "Envoyer vers" > "Dossier compressé" Un nouveau fichier .zip sera créé au même endroit où se trouve le fichier, avec le même nom et extension ".zip" Va maintenant sur le site de Senduit (hébergeur de fichiers gratuit) >> http://www.senduit.com/ - Clique sur "Parcourir...", puis navigue vers le fichier (.zip) puis double-clique dessus pour le sélectionner ; - Avant de cliquer sur "Upload", modifie l'option "Expire in:" à "3 days" - Clique maintenant sur "Upload" et patiente ; - Lorsque l'upload sera complété, une adresse (URL) apparaîtra (en bleue) ; - Copie/colle cette adresse dans un fichier du Bloc notes pour la conserver. - Ensuite, envoie-moi un message perso (via mon profil) et refile-moi ce lien s'il te plaît. On ne le met pas en public simplement parce qu'il s'agit (probablement) d'une bestiole. ============= Tu peux déjà repasser Malwarebytes' (MBAM). Question : utilises-tu toujours ClamWin ? Si oui, il faut le virer. Mets AntiVir à la place et fais un scan complet (après MBAM). Ne t'en fais pas pour AntiVir, les problèmes de mises à jour que tu as eus en Octobre sont maintenant derrière nous. @bientôt,

Je poste ceci et je dois quitter... Merci pour le rapport J'avais oublié de te spécifier de permettre à Malwarebytes' Anti-Malware de nettoyer tout ce qu'il trouve. Alors si tu ne l'as pas fait, relance une analyse rapide et ensuite permet le nettoyage des éléments trouvés. Un nouveau rapport sera généré : copie/colle son contenu ici, dans ta réponse. Je repasse dans quelques heures.. @+

Bonsoir Norimael J'ai très peu de temps, malheureusement, mais je vais tout de même jeter un oeil rapide ; Bagle est très complexe. Possible que tu aies un réinfecteur sur la machine depuis un bout et que ce dernier soit lié à ton logiciel Samsung (pas la faute du logiciel, mais bien de Bagle). Bagle n'est pas actif sur ta machine effectivement car s'il l'était, tu n'aurais pas pu venir poster ici ; Bagle bloque l'accès à ce forum. Un outil à passer tout de suite : Malwarebytes' Anti-Malware. Télécharge-le du lien suivant : http://download.cnet.com/Malwarebytes-Anti...&tag=button Installe-le puis lance une analyse rapide. Copie/colle le contenu du rapport généré ici, dans ta réponse. @+

Bravo Jean, la bête est bien morte Un petit test parmi tant d'autres pour confirmer : essaie d'aller sur la section de désinfection >> http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html Si ton navigateur ne se ferme pas immédiatement, c'est signe que l'infection n'est pas active. J'ai testé l'infection à quelques reprises ici, depuis deux jours : très agressive en effet et elle bloque plusieurs sites et applications. Je ne vais pas dépalcer ce sujet en désinfection car d'autres malchanceux pourraient la trouver ici, et poster. Ils ne pourront pas accéder à l'autre section. Les priorités : t'assurer que l'antivirus et le pare-feu soient désinstallés/réinstallés. AntiVir connait bien ce nouveau Bagle mais pas Avast!, alors le choix devrait être simple. Reviens dans quelques jours et on terminera le petit nettoyage (les outils, etc...). Ne fais rien de tout ça toi-même car nous avons des procédures spécifiques et efficaces pour ce nettoyage final. Edit/ajout : il y a de la corruption dans ta base de registre aussi, et je n'ai jamais vu ça avec Bagle. Je vais voir si on peut nettoyer ça. Si questions, pas de gêne. Je suis très pris mais je passerai de temps en temps. @+

Bonsoir Jean Malheureusement, ComboFix doit fonctionner à pleine puissance pour Bagle. Il a d'ailleurs été mis à jour pour cette nouvelle variante (merci à toi pour le fichier). ComboFix doit donc être à date aussi, et renommé sinon Bagle lui saute dessus. Là il reste une partie du rootkit de Bagle, présent et actif sur ta machine, alors ce n'est pas terminé.. Tu as deux options en ce moment : tu prends une nouvelle copie de ComboFix depuis une autre machine (saine), tu la renommes et la mets sur le PC infecté, ou... tu tentes d'installer Malwarebytes' Anti-Malware et tu le lances en analyse rapide directement (il est à jour aussi pour cette variante maintenant). FindyKill : l'option #1 n'est qu'un examen et ne nettoie pas ; de plus, je ne sais pas s'il est à jour pour cette variante, alors je ne te suggérerai pas de le lancer avec l'option #2 à l'aveugle, ça c'est sûr. Je te suggère donc de transporter une copie fraîche et renommée de ComboFix (jean2.exe si tu veux) sur la machine infectée et de la lancer. Note : ton pare-feu peut être partiellement actif, mais Bagle l'a probablement diminué et countourné déjà. Il faudra le désinstaller/réinstaller après nettoyage. Bagle met les machines infectées sur son Botnet (un réseau de machines zombies/infectées) alors ta connexion, sans pare-feu qui le gêne, lui est essentielle. Fais signe si tu as des questions ou problèmes... @+