Mark

Bonjour Daniel (et/ou Peter) Merci pour ton passage et pour les explications. Lorsqu'un utilisateur vient sur les forums avec une machine infectée, il a un avantage par rapport à quelqu'un qui tente de nettoyer tout seul dans son petit coin, à l'aveugle. L'avantage : il peut se faire guider et aura accès à des outils + méthodes de désinfection efficaces (généralement, selon le forum, mais bon..). Conserver les fichiers en Restauration devient un filet de sécurité ; si la machine réagit mal lors du nettoyage, on pourra restaurer, même si le point de restau contient des fichiers infectés (il sera facile de nettoyer par la suite). Ce genre de cas est rare, très rare même, mais nous préférons avoir cette "carte" en main, par prudence. Les rootkits utilisent souvent des pilotes, effectivement. Si une machine devient instable au point de ne plus vouloir démarrer sous une session normale, alors là "Dernière bonne configuration connue" peut être invoquée, mais la fenêtre est très petite car cette option ne peut fonctionner qu'après un seul démarrage, car le "ControlSet" sauvegardé pour la tâche est renouvelé à chaque démarrage de Windows. On utilise cette option généralement après une installation de matériel qui tourne mal. De toute façon, on ne l'utilise pas lorsque la machine parvient à démarrer sous Windows (en Sans Échec ou en Normal). Pour la Restauration, il y a autre chose aussi : un de nos outils (que je ne nommerai pas, très utilisé, même par les services techniques de produits commerciaux) est capable de remplacer des fichiers infectés directement à partir de la Restau (fichiers sains bien sûr) ; avec certaines infections modernes qui patchent les fichiers système dans tous les emplacements courants, aucun antivirus ou antimalware n'est capable de surmonter ce défi. Cela dit, il faut avoir une Restauration activée si on veut y prendre des fichiers sains. C'est la raison pour laquelle il faut attendre le feu vert - le "tout propre" - avant de désactiver cette dernière. Par contre, si un visiteur se présente en nous disant qu'il a nettoyé sa machine et que certains bons outils ne voient plus rien, sauf quelques fichiers en Restau vus par l'antivirus, alors là oui, on pourra simplement désactiver/vider la Restau pour ensuite la réactiver et ce sera terminé, après quelques vérifications d'usage (avant et après). Tout dépend de la situation, finalement. Sur les forums, on conserve la Restau intacte jusqu'à la toute fin car nous pourrons l'utiliser, si nécessaire ; directement, ou bien pour y extraire un ou des fichiers nécessaire au bon fonctionnement de la machine. Voilà ============ Unsub : comment ça va ? On peut t'aider pour la suite ? @+

Petite question rapide : est-ce que la Restauration Système est activée sur la machine ? Si oui, pourrais-tu essayer de restaurer à une date antérieure à l'apparition des problèmes s'il te plaît ? Si jamais cela réussissait, ça pourrait nous sauver des ennuis bien vite... Pour accéder à la Restau : bouton Vista > Tous les programmes > Accessoires > Outils système > Restauration du système ; La fenêtre mettra quelques secondes à s'ouvrir (sois patient). Suis les instructions et choisis une date antérieure à l'apparition des problèmes actuels. Tu devras redémarrer. Si tout cela fonctionne, dis-nous comment se comporte la machine. @ te lire

Merci Il faudra un certain temps pour analyser tout ça, mais je vois déjà un problème au niveau du répertoire Windows. J'ai déjà fait des manipulations de ce genre sous XP, mais pas sous Vista alors je vais m'assurer d'avoir les bonnes réponses avant de revenir. Je reviens dès que possible @+ Mark

Y a pas de quoi Ce genre de situation peut donner des cheveux blancs lol. En fait, pour faire avancer, je vais te demander deux petites analyses bien simples : ============ - Télécharge ce fichier : http://download.bleepingcomputer.com/sUBs/Beta/querySvc.exe > Mets-le sur le Bureau et lance-le par clic droit > "Exécuter en tant qu'administrateur" et autorise son exécution. Ça ne prendra qu'une dixaine de secondes à tourner. Un fichier texte apparaîtra (sUBs.txt) ; du menu "Fichier" >> "Enregistrer sous..." >> sauvegarde-le sur ton Bureau. je te le demanderai en fin de procédure. - Télécharge le fichier suivant : http://senduit.com/f24c8c > Mets-le sur ton Bureau et lance-le. Un fichier texte du nom de Log1.txt sera créé. Copie/colle le contenu des deux rapports ici, s'il te plaît (sUBs.txt et Log1.txt). Merci.. Mark

Bonjour Toum_ Merci pour ce rapport. Le problème qui semble se présenter est tout récent, et doublement complexe sous Vista (par rapport à XP). Une infection semble avoir retiré des permissions sur des fichiers et des Services, ce qui bloque beaucoup d'applications. C'est tellement nouveau que nous en sommes à étudier les possibilités et à faire des essais actuellement. Possible qu'on puisse faire quelque chose, mais je dois attendre quelques retours avant de poursuivre. Je pourrais avoir quelque chose demain ou peut-être avant ; on verra. À bientôt donc, Mark

Bonjour Jean Tout d'abord, je te félicite pour ta persévérance. Maintenant... L'outil me montre des problèmes au niveau de certains fichiers bloqués, mais pas de signe de l'infection que je soupçonnais. Ne t'en fais pas, l'analyse nous servira, donc pas faite inutilement. Voici un autre petit outil à lancer : ================== Télécharge exeHelper (de Raktor) sur ton Bureau. Double-clique sur exeHelper.com afin de le lancer. Une fenêtre noire devrait s'ouvrir : appuie sur n'importe quelle touche pour fermer la fenêtre, mais seulement lorsque l'outil aura complété son travail. Copie/colle le contenu du rapport exehelperlog.txt (créé au même endroit où se trouve l'outil) Note: Si une fenêtre avec message "Error deleting file" apparaît, prière de relancer l'outil avant de poster le rapport - qui contiendra maintenant les deux rapports. En souhaitant que ça tourne, cette fois-ci (et vite) @+ Mark

Bonjour Toum_ La petite enquête se poursuit. Je te propose une manipulation toute simple : - Télécharge les deux fichiers suivants : http://www.xs4all.nl/~fstaal01/downloads/swxcacls.exe http://senduit.com/7acb62 - Transporte-les sur la machine et sauvegarde-les sur son Bureau. - Lance le fichier Look.bat par double-clic (ne lance pas l'autre). Un fichier texte sera créé rapidement, du nom de Log.txt qui sera également sauvegardé sur le Bureau. Copie/colle le contenu de ce fichier dans ta prochaine réponse. À partir du résultat, nous pourrons (je l'espère) cerner le problème et le corriger. @+ Mark

Bonsoir pear, gate_2 (et merci à Thanos) Désolé pour l'intrusion, mais je devais vous signaler la présence d'un virus infecteur de fichiers exécutables, vu ici : C'est Sality. Il installe un rootkit, massacre le mode Sans Échec et bien plus, en plus d'infecter les outils (.exe), y compris l'antivirus et les fichiers système. ComboFix a détruit une bonne quantité de fichiers qui semblent légitimes au départ, mais qui ont bien été injectés par du code de Sality. Le prognostic est mauvais ; pear pourra t'en reparler... @+ Mark

D'accord, et merci pour les détails. Un collègue vient tout juste de me mettre sur une piste, que je devrai étudier en profondeur car ce n'est pas simple. Ça expliquerait pour les Services et tout le reste. Je te reviens dès que possible (cette nuit ou demain). @+

Bonjour Emma Ne t'en fais pas pour ces détections d'AntiVir : il s'agit de fichiers dans la quarantaine de ComboFix. Mea culpa car je ne te l'ai pas (encore) fait désinstaller. Aucun danger, tout est au frais. Pour ce qui est des mails sur l'ordi de ton copain : c'est son ordi qui semble être infecté. Ça expliquerait aussi les deux mails que tu as reçus (l'infection prend son carnet d'adresses / liste de contacts et leur envoie des mails piégés). Il devra donc passer quelques outils : Malwarebytes' en premier, ça pourrait tout régler, et lui mettre AntiVir si ce n'est déjà fait, sinon il devra venir sur le forum Pour les URLs dans la barre : c'est sous FireFox ? Si oui, quel thème utilises-tu ? Je vais regarder ça, mais ça ne m'a pas l'air méchant. @toute Mark

Bon Dimanche Attends pour la restauration : on regardera ça seulement si nécessaire. Oui, la partition de recouvrement devrait être présente par défaut sur le Acer, mais elle est assez bien cachée (normal). Alors je vais poursuivre avec quelques questions, si tu me permets : 1) Quels sont ces "Services" qui ne démarrent pas ? As-tu des messages d'erreurs ? 2) As-tu tenté de désintaller Avast! ? Sinon, je te conseille vivement de le désinstaller maintenant car il pourrait gêner les outils. On te mettra un autre antivirus dès que tu retrouveras la connexion. 3) En tentant de lancer ComboFix, aurais-tu double-cliqué plus d'une fois sur l'outil ? Si oui, cela peut causer le message d'erreur que tu obtiens. 4) As-tu accès à une clé USB "propre", qui n'a pas été en contact avec le portable infecté ? Si je demande, c'est simplement parce que tu avais des supports amovibles infectés au départ. Même si USBFix semble avoir fait le travail, on ne sait jamais... et si tu transfères ComboFix via une clé infectée, ça pourrait expliquer aussi. ============================= En plus des questions (lol), voici ce que je te suggère : - Désinstalle Avast! sur le portable. - Télécharge une copie fraîche de ComboFix et transporte-la sur le portable sur une clé propre (ou autre support amovible), si possible, et mets l'outil sur le Bureau du portable (ne le lance pas à partir d'une clé USB). - Redémarre le portable en mode Sans Échec (tapote F8 au démarrage, tout de suite après le Bip, et choisis ensuite le mode Sans Échec). - Lance ComboFix depuis le mode Sans Échec et on se croise les doigts. Il ne faut surtout pas double-cliquer plus d'une fois sur ComboFix : s'il ne se lance pas au bout d'une minute, il y a un problème et mentionne-le dans ton prochain post. @bientôt,

Salut Emma D'après les rapports, je vois l'installation de l'infection vers les 4 heures, dans la nuit du 16 (et Windows Live). Impossible pour moi de voir exactement comment ça a débuté. Pour ce qui est du clip de Metallica sur YouTube : je n'ai jamais entendu parler d'un clip infecté chez eux. Un rogue (faux programme) tel Antivirus Pro 2010 s'installe après avoir cliqué sur une fenêtre ou lien qui t'informe (souvent en anglais) que ton ordi est infecté (ce qui est faux) et ensuite l'infection s'installe. Le trojan responsable s'introduit (avant les fausses alertes) via des sites piégés ou bien des faux codecs, généralement. Difficile à suivre tout ça car les vecteurs d'infection changent régulièrement. Quelqu'un a donc cliqué sur quelque chose ou a visité un site piégé... Quel pourrait être le lien avec Windows Live Messenger alors ? Le programme a été lancé (confirmé dans les rapports) et "quelqu'un" a peut-être ouvert une pièce jointe ou cliqué sur un lien piégé dans un message. Pour l'installation de XP : ça date de quand ? Normalement, changer de Vista à XP ne pose aucun problème, sauf pour des incompatibilités de pilotes parfois. Vista est un peu mieux sécurisé à la base que XP par contre.. Les trois éléments de l'infection désactivés via msconfig : pas de soucis, les fichiers et dossiers associés ont été détruits, donc il ne s'agissait que de restes dans la base de registre. Rien de dangereux de ce côté, mais on va faire le ménage : télécharge le fichier du lien suivant (sur Senduit) et sauvegarde-le sur ton Bureau : http://senduit.com/3d388b > Double-clique sur le fichier (Fix.reg), permets son exécution et accepte la fusion avec le registre. > Au prochain redémarrage de l'ordi, les trois entrées auront disparu via msconfig. L'ordi va toujours bien ? À bientôt, Mark

Merci pour les détails, Toum_, et désolé pour le délai de réponse. Y a une bagarre avec des virus chez moi, de type biologique... Pas la grippe, pas encore Je viens de demander pour un avis car là, ça me dépasse. Je devrais avoir un retour bientôt et ça aidera, je l'espère. Si on retourne au début : as-tu toujours des problèmes de connexion ? Et avec Avast! ? As-tu tenté de faire des modifications sur le système récemment, par exemple pour permettre à des jeux ou autres logiciels de tourner ? Dernière question : as-tu la partition de recouvrement (Acer) sur le portable ? Je te reviens dès que possible... @+

Bonjour à vous deux ; Merci à Fill http://forum.pcastuces.com/infection_par_s...r-f25s50970.htm dan.lecomte22 : il faut juste choisir si tu poursuis ici, ou avec Fill sur PCA. Selon ton choix, tu n'auras qu'à aviser dans les deux discussions ; tu ne peux pas "fermer" un sujet toi-même, mais tu peux simplement aviser. Si tu as posté sur d'autres forums, c'est pareil. Faut pas suivre deux (ou plus) procédures en même temps ; c'est risqué pour toi et ça bouffe du temps aux bénévoles inutilement. Merci, et bon succès Mark

Bonjour Toum_, pear Toum_ : pear m'a demandé de jeter un oeil par ici, ce que je fais avec plaisir. Je ne sais pas si mon passage sera bénéfique, mais ça ne devrait pas nuire, enfin je l'espère Tout d'abord, quelques constats : - Il y a une grosse infection que je vois ; il s'agit d'un Bot (infection à porte dérobée) qui vient rarement seule, c'est-à-dire possibilité d'un rootkit associé. Voici une description : http://www.bleepingcomputer.com/startups/s....exe-24025.html - À propos de ceci, dans les détections de l'outil CureIt : Il s'agit d'un infecteur de fichiers exécutables, mais pas récent (2004-2005) et pas aussi coriace que ses contemporains. Mais il était là, et ça peut causer des dommages... Description : http://threatinfo.trendmicro.com/vinfo/vir...W.B&VSect=P - De SysProt : Cette détection nous montre un lien entre le fichier "louche" (probablement nommé aléatoirement) et une application de protection de jeux/logiciels nommé StarForce. Avec la quantité de jeux que je vois sur la machine, il n'est pas surprenant d'y voir StarForce ; ces programmes de contrôle d'authenticité s'incrustent très bas dans l'architecture du système et on se souvient du "rootkit Sony". - Ceci : ...suivi de : C'est pour le portable la clé d'activation ? Vista Home Prem (authentique) ne venait-il pas avec ? Si tu n'as pas les disques de Vista (de recouvrement), c'est parce que tu ne les a pas gravés ? Tu dois à tout le moins avoir la partition de recouvrement Acer alors (?). Étrange, je ne vois pas la partition de recouvrement dans les rapports...(??) Ça pourrait être important, si une réparation devenait nécessaire. ===================== Voici ce qu'on peut tenter : 1) Télécharge exeHelper (de Raktor) sur ton Bureau. Double-clique sur exeHelper.com afin de le lancer. Une fenêtre noire devrait s'ouvrir : appuie sur n'importe quelle touche pour fermer la fenêtre, mais seulement lorsque l'outil aura complété son travail. Copie/colle le contenu du rapport exehelperlog.txt (créé au même endroit où se trouve l'outil) Note: Si une fenêtre avec message "Error deleting file" apparaît, prière de relancer l'outil avant de poster le rapport - qui contiendra maintenant les deux rapports. 2) Supprime à nouveau la copie de ComboFix qui se trouve sur ton Bureau. Télécharge une copie fraîche du lien suivant : http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Renomme immédiatement le fichier en CF.bat et valide pour le changement d'extension. L'icône de ComboFix ne devrait plus être un chat rouge sur fond blanc à présent, mais bien une petite boîte avec engrenage. Si tu vois toujours le chat, c'est que tu dois modifier les options d'affichage pour démasquer les extensions connues, comme ceci : Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Décoche la case Masquer les extensions des fichiers dont le type est connu Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Tu peux renommer ComboFix en CF.bat à présent et l'icône sera le bon. > Désactive ton antivirus et lance ComboFix. Poste le rapport lorsqu'il aura complété (s'il accepte de tourner bien sûr). Poste le rapport de l'outil exeHelper également (en premier). Bon succès.. Mark

Bonsoir utena ; Je n'ai pas testé Virut ici, alors je ne saurais te répondre adéquatement. Là je vais supposer ceci : si tu transportes les fichiers (.htm, .html ou .php) sur ta machine sans les ouvrir, ça devrait aller ; l'antivirus résident va aboyer par contre, s'il connait Virut, et bloquera l'opréation. Si tu désactives l'antivirus... j'aime moins ça, même si c'est nécessaire pour faire le transfert. Oké voici ce que je propose : si tu as fait tes sauvegardes sur le PC et que tu es prête à le reformater si pépin, fonce et mets les fichiers sur ta machine (antivirus temporairement désactivé) - mais ne les ouvre pas surtout. Lance l'outil WC32 et laisse-le bosser ; selon les détections, désinfecte les méchants, puis réactive l'antivirus. Si tu as des doutes sur des fichiers avec iFrames trouvés, passe-les chez VirScan ou Virus Total... @+

Super ! Tu pourras aussi passer l'outil WC32.exe (d'Eric_71), qui recherche et retire les iFrames infectés sur ta machine. Là je ne sais pas si tu as les fichiers sur un PC ou bien un serveur ; pas sûr que l'outil tourne (ou tourne bien) sur un OS version serveur. Tu pourras nous le dire : =========== Télécharge WC32.exe (Virut Scan) sur le Bureau, du lien suivant : http://eric71.geekstogo.com/beta/WC32.exe - Lance-le par double-clic - De la fenêtre principale, décoche "Suspicious iFrames" (au bas) ; ceci évitera les faux positifs éventuels - Clique sur le bouton "Scan" >> Tu pourras copier/coller le rapport ici, si tu veux, avant de nettoyer par le bouton "Disinfect checked files" (si pertinent), juste pour confirmer. Tu peux également faire l'analyse avec "Suspicious iFrames" coché, mais prudence avec les faux positifs. Tu pourrais faire analyser tout fichier suspect sur Virus Total (ou VirScan) ; tu connais maintenant la technique À bientôt, Mark

Bonjour à vous deux utena : je vais te demander de faire analyser deux autres fichiers, juste pour confirmer que Virut n'est pas sur ta machine (Virus Total ou VirScan ; juste un car les deux font le même job ) C:\Windows\System32\userinit.exe C:\Windows\Explorer.exe Si les analyses reviennent avec zéro détections, pas nécessaire de coller les rapports ici et tu pourras respirer un peu mieux. Les pages Web infectées : si c'est du iFrame Virut, ça permet la propagation de l'infection. Un collègue à nous a développé un outil pour désinfecter les fichiers .htm, .html et .php. On pourra regarder ça. @+

Bonjour à vous deux Je voulais simplement clarifier quelques points soulevés lors de vos échanges : - Reader_s.exe et restorer64_a.exe ne sont pas "liés". - Reader_s.exe était lié à Virut en début d'année, mais plus maintenant. C'est à dire : Virut est souvent silencieux à présent : pas de signes dans les rapports d'outils courants. Reader_s.exe est une porte dérobée seulement (mais coriace). - Virut vient rarement seul ; souvent avec une (des) porte(s) dérobée(s). On voit ces dernières mais pas Virut, avec les outils courants. - Virut est connu de certains antivirus, mais pas de tous, selon la variante et la période. - Virut infecte aussi les pages Web via des iFrames (fichiers .htm, .html et .php). Oh... - Seul un antivirus capable peut (dans la période précise) détecter Virut. - J'ai vu des infections avec restorer64_a.exe où Virut était également présent (mais ce n'est pas automatique). - Virut ou pas Virut : ça dépend du crack/keygen/serial téléchargé (ou autre source) et également de l'activité de la porte dérobée, qui peut laisser entrer Virut à n'importe quel moment. Les vecteurs d'infections sont en mouvement constant. ================================== D'après ce que je lis ici, l'hypothèse Virut n'est certainement pas exclue : réinfections, pages Web infectées via iFrames... CureIt est généralement bon pour dépister les Viruts ; on verra. Mais il arrive qu'il ne les voit pas, selon la période et la variante. Meilleure façon de savoir donc : faire analyser quelques fichiers système sur un site spécialisé (Virus Total, VirScan, etc...). Et faire les sauvegardes (avec mises en garde pertinentes pour Virut). Bonne continuation à vous deux Mark

Saleté... Il faudra repartir à zéro, pour l'analyse. Pas grave. À demain

C'est normal avec cette infection ; elle s'incruste en profondeur dans le système, bloque tous les outils (ou presque) qui tentent de signaler sa présence, bloque des sites, perturbe le système, etc... On va tenter de tout rétablir. @+

Oh oui, laisse-le tourner car il repère déjà l'infection soupçonnée. Si l'infection n'avait pas été là, il aurait terminé rapidement. J'espère être ici lorsque l'outil aura terminé, sinon je repasserai dans quelques heures avec la suite. @+

Bonsoir bouha Oui l'analyse du Virus Removal Tool (c'est bien AVP Tool) peut être longue, mais là... ouff ! Si possible, il faudrait la laisser terminer mais bon, je vais pas te tordre un bras hein Il existe un autre outil antivirus qui pourrait faire le job aussi, en moins de temps, possiblement. On verra si AVP termine ou non. Il faut absolument analyser tous les fichiers sur la machine avec Kaspersky, ou l'autre, car une petite trace pourrait tout relancer, si laissée derrière. Remets aussi un nouveau rapport HijackThis, lorsque AVP aura complété (ou aura été fermé). Je vais voir pour la connexion (bizarre). @+ Mark

D'accord. Deux choses à tenter, pour l'instant : 1) Je t'avais demandé de regarder dans "Application Data" pour un dossier qui porte un nom de 8 chiffres. Petite correction sur l'emplacement, qui est bien "\Application Data\All Users\<8 chiffres aléatoires>" >> Si tu vois ce dossier, essaie de faire un Glisser/Déposer de celui-ci vers le Bureau, puis essaie de relancer GMER. 2) S'il n'y pas de dossier bizarre à 8 chiffres ou que la manip échoue, fais ceci : Télécharge puis sauvegarde ce fichier sur ton Bureau. Double-clique sur le fichier afin de lancer l'outil. Lorsque l'analyse sera terminée, un fichier/rapport nommé Win32kDiag.txt sera créé sur ton Bureau. Ouvre le fichier puis copie/colle son contenu ici, dans ta réponse. On verra pour la suite @+

Désolé pour le petit retard de réponse, denorbert.. Alors voilà une bonne nouvelle Bizarre qu'ils aient toujours cette détection par contre ; c'est comportemental donc plus difficile pour eux de gérer, j'imagine. Je garde ça en mémoire, pour les prochains visiteurs. Merci pour le retour @+ Mark