Mark

Merci pour le fichier, Jean Bon là c'est ma faute... J'avais regardé tes rapports trop vite ; il n'y avait pas seulement un ré-infecteur, mais bien trois. On va tous les virer et ensuite tu repasses ComboFix : =================== Via l'Explorateur, recherche et supprime les fichiers suivants (clic-droit >> "Supprimer") : C:\Program Files\DAP\DAP.EXE << C:\Program Files\SuperCopier2\SuperCopier2.exe << **Note : ces deux fichiers (+ SynTPLpr.exe supprimé précédemment) sont normalement légitimes ; dans ce cas-ci, Bagle les a remplacés donc les fichiers ne sont plus ce qu'ils étaient à l'origine. Il faudra donc réinstaller les programmes touchés (les 3), mais juste lorsque la machine sera propre. ~~~~~~~~~~~~~~~~~~~~ On va maintenant lancer ComboFix, mais d'une manière différente : **Le script prescrit ci-bas a été préparé pour la machine de jean_pfoumf seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): KillAll:: Registry:: [-HKEY_CLASSES_ROOT\clsid\{f4f10c1d-87c7-404a-b4b3-000000000000}] [-HKEY_CLASSES_ROOT\SearchHook.SrchHook.1] [-HKEY_CLASSES_ROOT\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}] [-HKEY_CLASSES_ROOT\SearchHook.SrchHook] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DownloadAccelerator"=- "SuperCopier2.exe"=- "flec003.exe"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "13676:TCP"=- *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Tu auras droit à un avertissement d'activité de rootkit : accepte pour le redémarrage. L'ordi va redémarrer et ComboFix va poursuivre le nettoyage. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : tu peux le fermer pour l'instant (le rapport est sauvegardé automatiquement). ~~~~~~~~~~~~~~~~ Ne réinstalle pas AntiVir tout de suite, on va faire une autre analyse avant : Télécharge FindyKill (de Chiquitine29) du lien suivant et sauvegarde-le sur le Bureau : http://pagesperso-orange.fr/NosTools/Chiqu...9/FindyKill.exe - Lance l'outil et choisis l'option #1. - Laisse-le bosser, puis un rapport va apparaître ; - Copie/colle le rapport ici dans ta réponse, à la suite du rapport de ComboFix, situé à : C:\ComboFix.txt Bon succès... et on verra pour terminer le travail, selon les résultats. La fin est proche, sois sans craintes @+ Mark

Bonsoir Jean Bon ben ça ressemble à un nouveau Bagle ça. Je crois qu'il est nouveau parce que le ré-infecteur est passé sous le nez de ComboFix (d'où la ré-infection) et le blocage du forum de désinfection ressemble étrangement à une nouvelle astuce signée Bagle. Cette infection détruit les antivirus et pares-feu, comme tu peux le constater... On va te virer ça maintenant. Avant d'attaquer, je vais te demander de m'expédier un fichier pour analyse ; c'est tout simple : Via l'Explorateur, retrouve le fichier suivant : C:\Program Files\Synaptics\SynTP\SynTPLpr.exe > Fais un clic droit dessus et choisis "Envoyer vers" >> "Dossier compressé" > Un nouveau fichier .zip nommé SynTPLpr.zip sera créé dans le dossier SynTP > Fais maintenant un clic droit sur le fichier SynTPLpr.exe et choisis "Supprimer" > Rends-toi sur le site de Senduit : http://www.senduit.com/ > Clique "Parcourir..." puis cherche et double-clique sur le fichier suivant : C:\Program Files\Synaptics\SynTP\SynTPLpr.zip > Avant de cliquer sur "Upload", il faut modifier l'option "Expire in:" à 3 days > Clique maintenant sur "Upload" et patiente quelques secondes ; > Une adresse (URL) apparaîtra dans la boîte : copie/colle cette adresse dans un nouveau fichier du Bloc-notes et sauvegarde le fichier sur ton Bureau (nomme-le "Senduit" par exemple). > Je vais te demander de me refiler cette adresse via ma messagerie car je ne veux pas que le lien apparaisse sur le forum (fichier infecté et dangereux). ========== Maintenant que le ré-infecteur n'y est plus (en principe), tu peux relancer ComboFix (nommé jean.exe). S'il te demande de prendre une version à jour : accepte. Tu auras sûrement droit à un message te disant qu'une activité de rootkit a été détectée et ComboFix te signalera qu'il doit redémarrer : accepte. Laisse ComboFix bosser (c'est long avec Bagle présent, possiblement plus de 10 minutes). Poste son rapport ici lorsque terminé. Tu peux également désinstaller AntiVir et Zone Alarm, puis les réinstaller. Poste tout d'abord le rapport de ComboFix, puis passe AntiVir et poste ensuite son rapport ici, pour vérification. Bon succès Mark (*Note : ce fichier est normalement légitime, mais pas cette fois-ci ; Bagle l'a remplacé)

Aïe. Oké. Bien joué pour ComboFix en tout cas. Ton sujet a été déplacé en désinfection alors fais-moi signe pour me dire si tu peux le lire ou pas (je me réfère à ton premier message - incapable d'ouvrir ce sous forum sans faire planter FF). Si je n'ai pas de tes nouvelles d'ici quelques heures, je te contacterai par messagerie et on déplacera à nouveau le sujet. Pas de soucis Je vais revenir plus tard pour bien analyser les rapports. @bientôt, Mark Edit : j'ai remis ce sujet en Optimisation car l'infection bloque l'accès au forum de désinfection..

Bonjour bouha ; Oui je peux comprendre. J'attendais ton retour, suite à mon dernier post. Tu as inclus ta réponse à l'intérieur d'une citation de mon post précédent alors quand j'ai regardé (vite) ta réponse, je n'ai vu que mon post qui y était inclus et pas le tien. Je le lis tout juste maintenant : Oké pour 8500 (il est inscrit 6500 dans ton premier message : pas grave). Je vais devoir faire de nouvelles recherches. Je te fais un retour dès que possible à ce sujet. Pour ce qui est de la Restau qui bloque ainsi, c'est plutôt étrange. Je vais te faire lancer un autre petit outil que tu trouveras sur le lien suivant : http://senduit.com/703b81 - Mets le fichier Look2.bat sur ton Bureau et lance-le ; accepte son exécution. - Ça tournera rapidement et un fichier du nom de Log2.txt sera créé sur ton Bureau. - Copie/colle le contenu de ce rapport ici, dans ta réponse. @+

Sensations fortes garanties, et pas juste pour toi J'ai déjà un "fix" en construction, grâce à l'aide de quelques amis. Mais tout le monde est prudent alors on me demande un nouveau scan avec AccessEnum, nouvelle option à cocher : - Lance AcessEnum.exe - Du menu "Options", clique sur "Show Local System account" et le menu va disparaître ; - Retourne dans le menu "Options" simplement pour t'assurer que l'option soit cochée (mais ne reclique pas dessus) - Clique maintenant sur "Scan" ; - Lorsque terminé, clique sur "Save" et sauvegarde le rapport en le nommant AccessEnum_3 > Uploade maintenant le fichier sur Senduit (avec option "Expire in:" à 3 days) et colle le lien ici, s'il te plaît. Vaut mieux se préparer, surtout si ça peut éviter les mauvaises sensations @+

Ah, oups, me revoilà... Merci pour le fichier Mon AntiVir n'a pas apprécié, effectivement Je contacte mon collègue et lui ou moi soumettra le fichier à Avira, dès que possible. Je te fais un retour dès confirmation par le team Avira. @toute Mark.

Je suis toujours là Toum_ J'ai pris le temps de bien regarder les rapports et de consulter aussi, car c'est délicat. J'attends toujours un avis, mais je peux déjà te dire que j'ai un plan de match qui inclus des modifications au niveau du répertoire C:\Windows et ça peut être risqué, car des permissions ont été modifiées et je ne peux reproduite tout ça sur ma machine d'essais. J'ai fait des modifications ici sans problèmes, mais je ne peux rien garantir pour ce qui est de ta machine. Il n'y a pas que les permissions qui clochent sur ta machine, mais le "Propriétaire" du répertoire a été modifié aussi. Il existe très peu de documentation sur ce genre de problème, sous Vista, alors nous nagerons dans des eaux inconnues. Avant de faire quoique ce soit, il faudra s'assurer que tes données importantes soient sauvegardées (mentionné précédemment). Si tout va bien par contre, on pourrait régler les problèmes en peu de temps car la méthode est plutôt simple dans son exécution ; ce sont les possibles surprises qui pourraient nous gêner, évidemment.. Alors je te pose la question : on fonce - prudemment ? L'autre choix : un formatage immédiat. @+ Mark

Bonjour bouha Pour la restauration via XP : même si l'infection avait désactivé cette dernière, ComboFix l'a normalement réactivée. La fenêtre peut mettre un certain temps à s'ouvrir, alors je ne peux que te suggérer de ré-essayer, juste pour voir... Attends une bonne minute avant de conclure. Cependant, il est possible que l'infection l'ait désactivée ; si oui, aucune date pré infection ne serait accessible. Là tu pourrais aller pour le SP3, si la restau est vide (calendrier présent mais aucune date cliquable) ou ne contient rien avant le passage de ComboFix... Pour vérifier si la partition de recouvrement + l'utilitaire Symantec (Dell PC Restore) sont présents, voici un lien du support Dell (applicable à la série 6400 qui inclus le 6500) : http://support.euro.dell.com/support/edocs...le.htm#wp333377 En gros : tu redémarre la machine ; lorsque tu vois la barre bleue portant la mention www.dell.com dans la partie supérieure de l'écran, tu appuies immédiatement sur les touches CTRL et F11 simultanément ; si tu vois l'option "Restaurer", c'est que l'utilitaire de Symantec et la partition de recouvrement sont présents. Pour sortir sans amorcer la restau, on ne dit pas quelle option choisir mais ça devrait être "Annuler" ou semblable. @+ Mark

Zut, le lien était bon mais il a expiré avant que je ne puisse m'y rendre ! Pourrais-tu refaire la manip, mais changer l'option "Expire in:" à 3 days s'il te plait ? Ensuite remets le lien ici. Merci Tu pourrais également signaler ce faux positif dans ton sujet sur l'autre forum ; ça aidera peut-être d'autres utilisateurs du simulateur qui auraient la même détection. @+ Mark

Bonsoir cyrano1 C'est bien un faux positif : C'est un fichier de PMDG, effectivement. Pas juste AntiVir, il y a McAfee-GW-Edition et eSafe qui aboient aussi. Détection du packer de fichier ; ça arrive... On pourrait le signaler à Avira, mais il nous faudrait une copie du fichier. Tu peux en uploader une copie sur un hébergeur gratuit (Senduit par exemple) et nous mettre le lien vers le fichier ici, s'il te plait ? Pour ce qui est des forums Pilote-Virtuel et Zébulon : c'est juste une question de poster sur deux forums pour un même problème... Mobiliser deux (ou +) bénévoles pour investiguer, ça nous bouffe du temps inutilement. Lorsque tu doutes pour une infection, mieux vaut venir sur un forum Sécu (ici par exemple) alors que s'il s'agit d'un problème logiciel spécifique, ben là tu trouves un (le) forum adéquat, le cas échéant. Pas grave... J'attends donc pour le fichier et je demanderai à mon collègue Falkra de l'expédier à Avira et McAfee. @+ Mark

Bonjour bouha Je vais tout d'abord répondre à tes questions : Tenter l'installation du SP3 est une opération relativement simple : vu l'état actuel de Windows, il est possible qu'il ne s'installe pas. Au pire, il renverra une erreur et l'installation ne pourra compléter. Peu importe le résultat, tu pourras poursuivre avec les méthodes 1 ou 2. Si je te propose (subliminalement..lol) la 3), c'est simplement une question de gestion de temps et d'efforts : si ça marche, tu t'évites beaucoup de boulot et ça n'aura pris qu'une heure environ. Oui le formatage est plus sûr dans un tel cas : pas juste pour la "propreté", mais bien pour l'état général de la machine, qui aura un Windows tout neuf, véloce et léger. Mais y a du boulot... Faire les sauvegardes : il existe plusieurs façons de faire, mais pas de méthode facile. En gros, tu dois copier tes fichiers importants sur des supports amovibles (DVD/CD, disque externe, cartes mémoire, clés USB, etc...) afin de pouvoir les remettre après réinstallation de Windows. Les programmes ne peuvent être sauvegardés car ils installent plusieurs fichiers et clés de registre un peu partout sur le système ; tu peux par contre sauvegarder les données/fichiers créés par certains programmes (les documents Word/Excel/Powerpoint de MS Office par exemple, etc...). Il faut non seulement penser aux fichiers (documents, images, clips perso, musique) mais aussi aux emails (si tu en as sur la machine), au carnet d'adresses de ton programme mail, tes contacts (Messenger) et tes Favoris de navigateur(s). Les mails, carnets, contacts et favoris peuvent être exportés aisément à partir des programmes eux-mêmes pour ensuite les transférer sur supports amovibles. Ça peut être long... selon ce que tu as sur la machine, mais ça permet de faire du ménage aussi (pas mauvais de temps en temps). =============== =============== Là j'avais supposé que ton Dell avait une partition de recouvrement, qui contient tous les fichiers d'installation de Windows ; j'espère qu'elle y est sinon tu ne pourras pas exécuter les options 2 ou 3, sans cette partition ; l'autre possibilité étant de restaurer avec les CDs de recouvrement, mais tu ne les as pas. Pour vérifier si ton portable est équipé de l'option de restauration (avec partition spéciale), je te refilerai un lien du support Dell. Il existerait une autre option (disons la #4), qui serait de tenter une Restauration via l'utilitaire de Restau inclus dans Windows XP ; ceci est bien plus rapide que les autres (10 minutes) et pourrait, en théorie, remettre la machine en état aussi. Cependant, cette option fonctionne rarement suite au genre d'infection que tu as chopée et c'est pour cette raison que ne l'avait pas envisagée au départ. On pourrait essayer par contre. Cette opréation est sans risque : ça passe ou ça échoue, tout simplement. Il faudra faire attention de choisir une date de restauration qui est antérieure à l'apparition des problèmes (de l'infection donc), sinon on pourrait relancer l'infection. Pas critique si on relance l'infection car on pourrait refaire un nettoyage, mais avec Mabezat qui infecte les exécutables, un nouveau nettoyage pourrait être long et là on perdrait en efficacité / gestion de temps. Si tout cela n'est pas très clair, je résume : installation du SP3 = méthode simple, ça passe ou pas et ça ne bloque pas les autres méthodes. 1 heure, si ça marche. Pas de garanties pour les résultats par contre. Formatage ou réparation de Windows : il te faut la partition de recouvrement avec fichiers d'installation de XP, sinon il faut oublier. Restauration à partir de XP : simple, rapide et pourrait régler les problèmes système. Plusieurs facteurs pourraient empêcher son exécution (Restau vidée/désactivée par l'infection, fichiers corrompus inutilisables, Restau qui réactive l'infection si la date choisie n'est pas la bonne - trop récente...). Bref, on peut tenter. Je te refile la manip pour une Restau simple via XP ? Voici : Bouton "Démarrer" > "Tous les programmes" > "Accessoires" > "Outils système" > "Restauration du système" ; La fenêtre mettra quelques secondes à s'ouvrir (sois patient). Assure-toi que le bouton "Restaurer mon ordinateur à une heure antérieure" soit coché, puis clique "Suivant>" ; Cherche pour une date qui serait antérieure à l'apparition des problèmes et tente une restauration. Un redémarrage sera requis. Fais signe si ça fonctionne. **Note : si l'infection ou toi avez désactivé la Restau, ComboFix l'aura réactiver dès son premier lancement, alors il y aura quelques points (dates) de Restau disponibles, mais trop récents. Ne pas utiliser ces points de restau récents car l'infection sera vraisemblablement réinstallée et nous ne gagnerons rien en efficacité... Si la Restau était bien active avant que l'infection ne frappe, là, tu peux tenter avec une date disponible. > Si la Restau est impossible, tu peux envisager la solution #3 (Service Pack3) ou bien le formatage (mais il faudra vérifier pour la présence d'une partition de recouvrement). @+ Mark

Pas de soucis pour le délai (je fais pire ) Merci pour le rapport, et je vais t'en demander un second, avec le même outil Un petit détail différent cette fois-ci : - Lance l'outil AccessEnum.exe ; - Du menu "Options", choisis "File display options..." ; - Coche pour activer "Display files with permissions that differ from parent" ; - Clique "OK" pour valider et ensuite clique sur "Scan" ; - Lorsque terminé, clique sur "Save" et sauvegarde le rapport en le nommant AccessEnum_2 > Va sur Senduit comme la dernière fois et uploade le fichier. Colle ensuite le lien ici, dans ta réponse. Merci Mark

Salut Emma Pas de soucis pour ComboFix, tu n'as qu'à supprimer celui qui reste sur le Bureau. Si tu en avais un avec ".exe" et l'autre sans, ce n'est pas l'infection qui est responsable mais bien une option sur ta machine, qui permet de voir (ou non) les extensions de fichiers dont le type est connu (.exe compris). Dans ton cas, l'option est sur "Masquer" donc tu ne peux voir les extensions .exe. Alors comment se fait-il que tu voyais Emma.exe ? Héhé : le nom de ce fichier était en fait Emma.exe.exe (si, deux fois .exe) alors Windows te montrait une fois .exe, la première étant masquée. Pour l'autre (Emma), il y avait bien .exe en extension mais masquée par cette option, qui est réglée de cette façon par défaut, sois dit en passant, donc pas de soucis. Compliqué tout ça ? Bah pas quand on la connait Un violon électrique ? Du jazz ? N'oublie pas de me parler de la bécane de ton copain, lorsque tu auras eu la chance de regarder ; la curiosité me ronge... @+ Mark

Ah ? Quelle partie alors ? Wullfk : je crois que tu connais notre mode de fonctionnement ici... (oui, la FAQ). On se charge de la modération aussi, lorsque nécessaire. cyrano : il faut éviter de poster sur différents forums pour un même problème ; ça bouffe du temps aux bénévoles... Cela dit, il faut approfondir un peu avant de conclure quoique ce soit. AntiVir émet rarement des faux positifs, mais ça peut arriver. Avast! passe souvent à côté de certaines choses, mais pas tout le temps. Google ne connait pas ce fichier, ce qui n'est pas très bon signe, mais pas un signe absolu. Voici quoi faire : - As-tu noté l'emplacement exact du fichier en question ? AntiVir devrait te le fournir. Si oui, fais-le analyser ici : http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier en question - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. @+

Bonjour bouha ; Merci pour les rapports Mon constat est le suivant : des dégâts sur le système, mais pas assez pour empêcher la machine de tourner. Internet Explorer est abimé aussi, ce qui pourrait expliquer les problèmes de connexion. Il y a trois options qui s'offrent à nous : 1) Un formatage suivi d'une réinstallation de Windows via la partition de recouvrement (il y aura perte de données et programmes alors il faudra des sauvegardes au préalable). Ceci remettra le système à son état d'origine. Méthode sûre mais longue. 2) Une réparation de Windows via la partition de recouvrement. Pas de perte de données en théorie, mais il y a un risque, donc il est préférable de faire les sauvegardes avant de procéder. La réparation effectue une réinstallation de Windows "par dessus" l'ancienne installation, alors l'opération est aussi longue qu'une réinstallation après formatge mais sans les garanties d'avoir un système propre ; la réparation ne fait que remettre les fichiers système à l'état d'origine, mais ne touche pas aux programmes possiblement corrompus ni aux rebus dans le registre. 3) Tenter de réparer le système en installant le Service Pack3 pour XP, ainsi qu'un nouveau IE (Internet Explorer). Ceci pourrait remettre le système en état, mais impossible de te le garantir. Beaucoup moins long qu'un formatage et pas de perte de données/programmes déjà installés. Ça prend environ 1 heure, comparé à 4-5 heures pour un formatage avec réinstallation de Windows (approximatif : ça peut être plus long). ================ Si tu veux tenter la méthode 3 > l'installation du SP3, tu peux le prendre du lien suivant (fichier .exe) : http://www.clubic.com/telecharger-fiche242...ice-pack-3.html (clique sur "Télécharger gratuitement" ; une nouvelle fenêtre s'ouvrira donc clique sur "Lancer le téléchargement") > Transporte-le sur la machine (sur le Bureau c'est Oké) puis lance-le. Ça peut prendre 1 heure, en tout. > Viens nous dire si ça a fonctionné. Petite question : peux-tu me dire quelle version d'Internet Explorer est installée ? Lance le navigateur puis va dans le menu "?" (au haut) et choisis "À propos de Internet Explorer" ; tu verras la version dans la fenêtre (une longue série de chiffres qui débute avec un 6, un 7 ou un 8 ). Donne-moi juste le premier chiffre s'il te plaît. Bon succès @+

Bonsoir Marvin_R ; je te souhaite la bienvenue sur nos forums Nous connaissons plutôt bien Alcmtr, qui n'est pas vraiment méchant, finalement. Un risque ? Ah oui peut-être, mais pas une réelle menace quand on compare aux bestioles qui circulent. Cela dit, nous avons des règles bien à nous pour la section de désinfection ici ; je t'invite donc à lire notre petite FAQ de fonctionnement : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout y est bien expliqué. Bonne lecture (prière de ne pas répondre ici ; la discussion appartient à grrore) @+ Mark Edit : je viens de constater ton édit de post (suppression du contenu). Ce n'était pas vraiment nécessaire, mais Merci

Parfait ; ça pourra être très utile, pour nous mais aussi pour les autres, si c'est nouveau. Bon, je pourrais te faire lancer Win32KDiag à nouveau pour tenter de réparer des permissions sur des fichiers système, mais ça risque de rouler pendant plusieurs heures alors on va essayer autre chose pour l'instant : ================ Je ne t'ai pas encore fait lancer ComboFix, alors on essaie maintenant. Tu devras supprimer la copie téléchargée l'autre jour car déjà périmée. Prends-en une fraîche du lien suivant : http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Renomme-le en jean.exe et sauvegarde-le sur le Bureau de la machine infectée. Essaie de le lancer selon les instructions fournies dans le guide officiel : http://www.bleepingcomputer.com/combofix/f...iliser-combofix Si ça roule, poste le rapport ici. Si ça coince, prends note de tout message d'erreur (le cas échéant). Pour le patch, fais signe lorsque tu l'auras et je te dirai comment procéder pour me l'expédier. Merci, et à bientôt Mark

Salut Emma Doucement avec ton copain...lol. Il n'a peut-être rien à voir avec cette histoire Je t'explique (pour Messenger). Voici un scénario possible : l'infection s'installe, suite au téléchargement de quelque chose ou bien à une visite sur site piégé (eBay et YouTube improbables) et ensuite le programme (une infection est un programme) utilise Messenger pour propager des messages piégés à tes contacts, à ton insu. On voit ça beaucoup depuis quelques années. Il s'agit d'une porte dérobée capable d'opérer Messenger en sourdine. Étant donné que Messenger était présent sur la machine, c'est un jeu d'enfant pour l'infection. Si ma théorie tient la route, tu devrais avoir des contacts qui se sont fait bombarder de messages piégés (ton copain inclus). L'inverse pourrait être vrai aussi : un de tes contacts a été infecté et t'a envoyé un message piégé, sauf que... tu n'utilisais pas Messenger alors tu n'aurais pas pu ouvrir un message piégé. Mystère... Ah oui je ne t'avais pas répondu au sujet de Yahoo! : malheureusement, je ne l'utillise pas alors je ne peux pas vraiment t'aider... Regarde peut-être du côté de la configuration, il y a peut-être un réglage à quelque part. =============== Hop, on fait du petit ménage : Clique sur le bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u Cela ne prend que quelques secondes et une fenêtre devrait s'ouvrir avec message de succès (désinstallation de ComboFix). Si tu ne vois pas ce message ou qu'il y a erreur, refais la manip avec cette ligne : ComboFix /uninstall Là ça devrait aller. ~~~~~~~~~~~~~~~~~ Tu peux supprimer l'outil RSIT.exe (sur ton Bureau), ainsi que son répertoire qui se trouve directement sur le lecteur C: (C:\rsit) Supprime le fichier Fix.reg qui se trouve sur ton Bureau. J'ai oublié quelque chose ? ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~ Pour la machine de ton copain, voici la séquence que je te suggère : - Vérifie que BitDefender est périmé : si oui, désinstalle-le illico (via le Panneau de Config > Ajout/Suppressions de programmes). - S'il y a de grosses infections présentes (possible), il serait préférable de passer Malwarebytes' Anti-Malware tout de suite (analyse rapide), avant de mettre un autre antivirus (je te conseille AntiVir d'ailleurs). Malwarebytes' pourra ainsi décrasser la machine et permettre une installation plus aisée d'un antivirus. Si jamais Malwarebytes' refusait de tourner, stoppe tout et viens me soumettre ça ici. - Si Malwarebytes' a bien tourné, installe maintenant l'antivirus et fais une analyse complète de la machine. >> Si pépins, doutes ou questions, pas de gêne, fais signe ici C'est pour quand le beau violon ? Tu as hâte ? @bientôt, Mark

Merci angélique optilog : je vais fermer ton sujet ici. Tu es entre bonnes mains là-bas et il ne faut pas mobiliser plusieurs helpers sur différents forums, pour un même problème. Les bénévoles sont surchargés donc le temps est précieux, surtout pour les autres qui attendent une prise en charge. De plus, suivre différentes instructions en parallèle peut être dangereux pour ta machine. Alors voilà, bon succès là-bas @+ Mark

Bonjour Emma On ne pourra malheureusement retrouver le moment précis du début de cette infection ; il faudrait des données qui sont impossibles à retracer, surtout via un forum. Intéressant pour la fenêtre d'alerte "Your computer is infected" (ou semblable) par contre, car ça confirme la présence d'un trojan. Lorsque ces alertes apparaissent, une première infection est déjà installée. Soit il y a eu téléchargement de "quelque chose" (fichier infecté, faux codec, etc...) ou soit il y a eu visite sur un site piégé qui installe l'infection en sourdine, et ensuite les fausses alertes commencent. Pour ce qui est de YouTube : ça m'étonnerait que la source soit là ; juste avant d'y aller, probablement... Pour Windows Live Messenger : je n'ai pas la réponse. Cependant, l'infection (probable) sur la machine de ton copain peut laisser croire qu'il y a un lien avec ta machine ; si l'infection chez toi a causé l'envoi de messages piégés via Messenger (possible et fréquent), ça aurait pu infecter la machine de ton copain, s'il a reçu et ouvert un message venant "de toi" (pas vraiment de toi, mais de ton Messenger, à ton insu). As-tu reçu des commentaires de tes autres contacts à ce sujet ? Et finalement, la barre d'adresses dans IE8 : j'aurais dû y penser avant, mais je n'utilise jamais IE alors je n'avais pas vérifié... Voici ce que je vois, chez moi : Semblable chez toi ? Si oui, c'est normal Comment se comporte la machine de ton copain ? As-tu passé Malwarebytes' Anti-Malware dessus ? @+ Mark

D'accord On va maintenant regarder de plus près (sans toucher - pas tout de suite) les permissions du répertoire Windows. Je préfère t'aviser tout de suite : les manipulations de permissions sont risquées et Vista présente un défi additionnel par rapport à XP. Selon les trouvailles, il est possible que des modifications soient nécessaires alors il serait sage de déjà songer à faire tes sauvegardes de données importantes, au cas où ça tournerait mal. Sois sans craintes, je vais t'avertir avant de tenter toute modification. Allons regarder maintenant : ============= Télécharge AccessEnum (de SysInternals) de la page suivante : http://technet.microsoft.com/en-us/sysinte...s/bb897332.aspx > Sauvegarde le fichier sur ton Bureau (AccessEnum.zip) > Extrait le fichier AccessEnum.exe sur ton Bureau et lance-le ; > Accepte son exécution et ensuite valide à la fenêtre de licence. > Dans la fenêtre de l'outil, tu devrais voir C:\Windows dans la boîte au haut (sous la description) ; c'est parfait, ne change rien. > Clique maintenant sur le bouton "Scan" (au bas) ; l'outil tournera pendant quelques minutes (5 à 10 au plus) ; > Lorsque terminé, tu pourras cliquer sur le bouton "Save" ; sauvegarde le fichier sur le Bureau (nommé AccessEnum). IL sera sauvegardé au format ".txt" (parfait), mais il sera trop lourd (+ de 2000 lignes) pour mettre sur le forum. > Tu peux maintenant fermer l'outil en cliquant sur le bouton "Quit". >> Va sur l'hébergeur de fichiers gratuit Senduit : http://www.senduit.com/ >> Clique sur "Parcourir..." retrouve et ensuite double-clique sur le fichier AccessEnum.txt qui se trouve sur le Bureau afin de le sélectionner ; >> Ne clique pas sur "Upload" tout de suite ; modifie le "Expire in:" (juste au dessous) à "1 week" et ensuite clique sur "Upload" >> Lorsque l'upload sera complété, une adresse (URL) te sera fournie dans la boîte ; copie/colle l'URL ici, dans ta réponse. @+ Mark

Bonjour bouha Alors désolé, ta discussion m'a filé sous les yeux. Le scan de l'outil Kaspersky a été très long, effectivement ; les dégâts subis par le système font en sorte qu'à tout le moins un service essentiel de Windows ne fonctionne pas, ce qui cause des ennuis majeurs. C'est un rootkit qui est généralement derrière ce genre de problème ; là il n'y est plus, mais les dégâts, si. On va tenter de diagnostiquer de la façon suivante : ============= - Télécharge le fichier suivant : http://senduit.com/bc8290 > Sauvegarde-le sur le Bureau de la machine infectée. > Lance le fichier (Look1.bat) par double-clic et autorise son exécution ; > L'opération sera très rapide et un fichier texte apparaîtra (Log1.txt) ; tu peux le ferner pour l'instant et il sera sauvegardé sur le Bureau automatiquement. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ - Télécharge querySvc.exe (de sUBs) du lien suivant : http://download.bleepingcomputer.com/sUBs/Beta/querySvc.exe > Mets-le sur le Bureau et lance-le ; autorise son exécution. Ça ne prendra qu'une dizaine de secondes à tourner. Un fichier texte apparaîtra (sUBs.txt) ; du menu "Fichier" >> "Enregistrer sous..." >> sauvegarde-le sur ton Bureau. Copie/colle le contenu des deux rapports ici, dans ta réponse (sUBs.txt et Log1.txt). @+

Merci pour le rapport J'avais fait un edit tardif sur mon post précédent : as-tu conservé le patch pour AtomicMailboxpassword ? Si oui, fais signe et je t'expliquerai quoi faire. Sinon, je devrai faire quelques recherches car là, je suis vraiment embêté par cette "infection" qui ne colle plus à rien de connu. @+

Désolé pour le petit délai : Bon alors il ne semble y avoir de rogue(s) qui bloque l'exécution d'outils. Un beau casse-tête tout ça Je te fais passer un autre petit outil bien simple : ============ - Télécharge querySvc.exe (de sUBs) du lien suivant : http://download.bleepingcomputer.com/sUBs/Beta/querySvc.exe > Mets-le sur le Bureau et lance-le ; autorise son exécution. Ça ne prendra qu'une dizaine de secondes à tourner. Un fichier texte apparaîtra (sUBs.txt) ; du menu "Fichier" >> "Enregistrer sous..." >> sauvegarde-le sur ton Bureau. > Reviens coller le contenu du rapport ici, dans ta réponse. Edit : as-tu conservé ce patch pour AtomicMailboxpassword ? Si oui, on pourrait le faire analyser... @+ Mark

D'accord Toum_ ; il fallait essayer J'aurais quelques questions maintenant : - As-tu le souvenir d'avoir (toi-même) modifié les permissions sur le répertoire Windows ? Je vais supposer que non mais je dois te le demander car là, on devra faire des manipulations délicates. - Aurais-tu stoppé le "Services de chiffrement" (CryptSvc) toi-même ? - Pourrais-tu nous dire à quel moment les problèmes ont débuté, c'est-à-dire si tu souviens d'un évènement quelconque qui pourrait en être la cause ? L'écran brisé laisse supposer un impact important, mais je ne pense pas que les problèmes actuels viennent de ça... @+