Mark

Tu pourrais essayer du mode Sans Échec (l'outil CF.bat), pour voir. Essaie également Malwarebytes' Anti-Malware du mode Sans Échec ; si tu n'as pas déjà l'outil, télécharge l'installateur d'ici : http://www.malwarebytes.org/mbam-download.php Redémarre ensuite en Sans Échec, puis tente ComboFix. Si ça roule, poste le rapport ici (sauvegardé à C:\ComboFix.txt). Si ComboFix ne tourne pas, essaie d'installer Malwarebytes' Anti-Malware (du mode Sans Échec toujours) et lance une analyse rapide. ===== Si rien de tout ça ne fonctionne, essaie ceci (du mode Normal) : Télécharge puis sauvegarde ce fichier sur ton Bureau. Double-clique sur le fichier afin de lancer l'outil. Lorsque l'analyse sera terminée, un fichier/rapport nommé Win32kDiag.txt sera créé sur ton Bureau. Ouvre le fichier puis copie/colle son contenu ici, dans ta réponse. À te lire

Hmmm... Nous sommes là tous les deux alors je te fais essayer autre chose : - Supprime la copie de ComboFix présente sur le Bureau (Bouno56.exe). - Retente avec la version que je te mets là : http://senduit.com/51ab97 (il est complètement renommé, extension incluse). N'oublie pas de désactiver Avast! à nouveau @+

Bonsoir à tous Jimmy : je ne doute aucunement de ta bonne volonté ni de ton expérience perso avec la bête. Cependant, Thanos a déjà posté une piste de solution et il ne faudrait pas faire déraper la discussion. Je t'invite à lire notre FAQ de fonctionnement de la section (tout y est bien expliqué) : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html De plus : un rogue (tel Security Tool) ne vient jamais seul et nous voyons beaucoup de variations sur les machines infectées. Tout ça pour dire qu'il y a rarement deux infections identiques et que nous devons procéder par étapes. Merci...

Si tu dois te déplacer pour accéder à un autre PC, je te donne une petite liste d'outils à télécharger tout de suite, que tu pourras ensuite transporter vers la machine infectée. Note : ne lance aucun outil sans obtenir le feu vert ici : ============= http://download.bleepingcomputer.com/sUBs/ComboFix.exe (renomme-le en jean.exe avant qu'il n'atteigne la machine infectée) http://ad13.geekstogo.com/Win32kDiag.exe http://noahdfear.net/downloads/exe_fix.com http://images.malwareremoval.com/random/RSIT.exe Tout ceci en plus de GMER, bien sûr. Possible qu'un seul ne soit nécessaire, on verra, mais je préfère t'armer au cas où... Rappel : ne rien lancer sans prescription. @demain

As-tu essayé via le lien de Senduit ? Autre chose : regarde via l'Explorateur, sous ton compte, dans "Application Data" et repère une dossier nommé en 8 chiffres aléatoires (s'il y est). Si présent, fais un glisser/déposer de ce dossier vers le Bureau, avant de lancer GMER. S'il n'est pas là, pas grave... Bon succès

Bouno56 et jimmy44 : il faut ouvrir un nouveau sujet. Celui-ci est pour sodaniella Merci

Oké. Je te mets l'outil sur Senduit : http://senduit.com/b33daa As-tu accès à un autre PC, si nécessaire ? @+

Rebonsoir jean_pfoumf ; On essaie ceci : =========== Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double-clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse. @+ Mark

Je le prends. jean_pfoumf : je reviens dès que possible. @+

Bonsoir Faustroll ; Je t'invite à lire notre FAQ de fonctionnement de section : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout y est bien expliqué. Ceci est ton premier message sur nos forums et tu y es allé de façon plutôt raide, sans aucun respect pour le membre ni pour l'intervenant, alors je te mets 3 jours sans droits de poster. Désinfecter un PC sur forums n'est pas une activité pour tout le monde. Regarde, apprends, mais tu ne pourras internvenir ici, sur Zebulon (dans cette section). @+

Merci pour ta patience, cavokalain Allons-y. ======== Va dans le Panneau de config > Ajout/Suppressions des programmes et désinstalle/supprime les programmes suivants (obsolètes et ils contiennent des failles de sécurité) : Adobe Reader 7.0.9 J2SE Runtime Environment 5.0 Update 10 J2SE Runtime Environment 5.0 Update 5 J2SE Runtime Environment 5.0 Update 6 J2SE Runtime Environment 5.0 Update 9 Java™ 6 Update 11 Java™ 6 Update 3 Java™ 6 Update 5 Java™ 6 Update 7 Java™ SE Runtime Environment 6 Update 1 Ensuite, prends les nouvelles versions de Java et d'Adobe Reader des liens suivants : http://java.com/fr/download/manual.jsp (prends la seconde version pour Windows - "Hors ligne") http://www.adobe.com/fr/products/reader/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Lance FindyKill et choisis l'option #3 (Désinstaller) Clique sur le bouton "Démarrer" > "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique OK : ComboFix /u Ceci désinstallera ComboFix proprement. Une fenêtre te confirmera le succès de l'opération (ça ne prend que quelques secondes). ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Lance HijackThis en double-cliquant sur l'outil que tu trouveras là >> C:\Program Files\trend micro\HijackThis.exe - Clique "Do a system scan only", puis coche la ligne suivante : ------ O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) ------ - Ferme les fenêtres de navigateur puis clique le bouton "Fix checked". Ferme HijackThis. ============== ============== Le nettoyage est terminé. Si questions, pas de gêne surtout @+ Mark

Merci pour le rapport et les détails On va tenter de te réparer ta connexion, puis je te passe un outil antivirus qui pourra vérifier la présence ou restes de Mabezat : ================== Télécharge WinsockXPFix (par Option^Explicit) du lien suivant : http://www.webattack.com/get/winsockxpfix.html Télécharge le fichier deldomains du lien suivant : http://senduit.com/fee47b - Transporte les deux outils sur la machine infectée (sur son Bureau). - Lance l'outil WinsockXPFix.exe par double-clique ; - Clique le bouton "Fix" - Ferme l'outil lorsque terminé. - Fais un clic droit sur le fichier deldomains et choisis "Installer" (clic gauche) du menu contextuel. - Redémarre la machine et essaie la connexion Internet ~~~~~~~~~~~~~~~~~~ Peu importe si la connexion est rétablie ou non, je te fais faire la prochaine manipulation. Tu devras simplement télécharger l'outil à partir de la machine saine et le transporter si jamais tu ne peux pas à partir de la machine "malade" : SCANNER AVEC AVP TOOL Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image: Connecte éventuellement tes clés USB et disques externes. Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus Réponds "Oui" à la question "Do you want to continue installation?" Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool" L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan". Clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage. A la fin de l'analyse, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre: Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK" Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events" Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES" Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation: A la question "Would you like to restart now", réponds "OUI" et l'ordi va redémarrer. Poste le contenu du rapport (sauvegardé sur ton Bureau) dans ta prochaine réponse. ======== ======== ======== Reviens nous poster le rapport d'AVP Tool et dis-nous comment tout ça progresse (connexion incluse). Bon succès Mark

Bonsoir Emma J'ai eu un weekend plutôt débile, avec du virus dans la maison en prime (pas du H1N1 - fiouf). Je vais tenter de répondre à tes questions, puis on fera un peu de ménage : =========== L'origine de l'infection : pas évident, surtout que tu avais déjà fait quelques manips avant de venir sur le forum. Ce que je vois : une installation ou modification à Windows Live Messenger aux petites heures du matin, le 16 ; tout a déboulé à partir de ce moment-là. Hypothèse : tu as cliqué sur un lien piégé ou tu as ouvert une pièce jointe infectée, via Messenger. Autre problème : l'infection que tu as chopée est récente et mal détectée par les antivirus. Voici les résultats d'analyse faite sur l'un d'eux, tout récemment : Analyse du 12 Octobre : http://virscan.org/report/bbe514a0db204fa0...15ffcf8462.html Analyse aujourd'hui : http://virscan.org/report/5531a51f0bb3e215...66cf55c44d.html 11 détections sur 37 le 12, et 19 détections maintenant dont AntiVir. C'est mieux, mais pas parfait... De plus, il y a quelques détections "Virut" sur le fichier analysé aujourd'hui et il ne faut pas s'y fier (fichier doublement infecté - Virut est une saleté qui infecte les fichiers exécutables, même les bestioles ) ~~~~~~~~~~~~~~~~~~~~~~ Pour ton "Pad" : je ne saurais t'expliquer, mais je peux te dire que ça m'arrive ici aussi avec ma souris, lorsque je clique sur la barre de défilement pour la descendre ; je fais descendre la barre rapidement et parfois elle remonte en haut de page sans raison, dès que je relâche le bouton. J'ai aussi remarqué le même phénomène sur un portable, en utilisant le Pad ou même la souris. Problème sans origine infectieuse, de toute évidence ~~~~~~~~~~~~~~~~~~~~~~ Je vois que tu as toujours Internet Explorer 6 : il faut passer à la version 8, même si tu ne l'utilises pas. Les failles de sécurité dans les versions 6 et 7 peuvent être exploitées par les malfaiteurs même si le navigateur est fermé. Il existe des infections qui "sautent" d'un navigateur à l'autre, aussi (de FF à IE par exemple). Voici donc un lien direct pour IE8 : http://www.microsoft.com/france/windows/pr...e8/default.aspx Adobe Reader est également ciblé par les malfaiteurs et doit être maintenu à jour. Nous avons d'ailleurs eu droit à une MAJ critique la semaine dernière, qui visait toutes les versions antérieures à 9.2.0 (tu as la 8.1.2). Va donc dans le Panneau de Configuration > Ajout et Suppression des programmes et désinstalle Adobe Reader 8.1.2 Ensuite, prend la toute dernière version ici : http://www.adobe.com/fr/products/reader/ (c'est plus simple de le faire de cette façon, car le module intégré de mis à jour est plutôt pénible à utiliser et ne propose souvent pas la toute dernière version... à moins de refaire la MAJ 2 ou 3 fois...). ====== ====== Voilà pour l'instant. Je manque de temps alors on terminera le ménage après ces quelques mises à jour. À très bientôt Mark Edit : je voulais simplement te rassurer pour le fichier analysé aujourd'hui, qui montre des signes de "Virut". Le fichier a été envoyé par un autre utilisateur du service VirScan donc il ne provient pas de ta machine. Je tenais à le dire pour éviter tout doute : pas de "Virut" sur ta machine

Bonjour bouha, Falkra bouha : si je suis là, c'est juste parce que j'ai demandé à Falkra si je pouvais poursuivre avec toi, hier (samedi soir en fait..). Je fais rarement ça mais là, quand j'ai vu Tazebama dans les rapports... J'ai déjà croisé le fer avec cette infection ici, sur ma machine d'essais, et on ne l'a pas souvent vue sur les forums, alors je me suis porté volontaire Tazebama (aussi connu sous le nom de Mabezat) est un infecteur de fichiers exécutables et je soupçonne qu'il t'ait causé tes ennuis de désinfection. Là, la machine se porte plutôt mal, avec le service Cryptographique endommagé (possiblement) et Windows qui ne peut plus vérifier l'intégrité de ses fichiers système ni les réparer. Ça promet... IL faudra aussi te réparer des dégâts infligés à Internet Explorer, à la passerelle réseau (perte de connexion) et autres trucs possibles. Avant de foncer, je veux te poser quelques questions : 1) As-tu le CD de Windows ou des CDs de recouvrement pour le système ? Ou bien juste la partition de recouvrement (Dell) ? 2) As-tu retrouvé la connexion Internet ? 3) Quel est l'état actuel de la machine ? (en gros...) 4) Peux-tu me remettre un rapport HijackThis tout frais s'il te plaît ? Merci, et à bientôt. Mark

Me revoilà enfin... J'ai expérimenté un peu ici et, malheureusement, je n'ai pas de soluce pour réparer les fichiers autre que de te faire utiliser un CD de Windows. Je regarde la taille de tes dossier i386 et ils sont trop petits pour contenir ce qu'il faut pour réparer. Ce ne sont pas toutes les machines qui possèdent le dossier i386 bien garni, capable de remplacer le CD pour une réparation. J'ai même téléchargé et extrait le SP4 de Win2000 ici, juste pour examiner le dossier i386 qu'il installe : 150Mo mais il manque les fichiers nécessaires pour remplacer les tiens. On aura bien essayé... Si la bécane tourne adéquatement, tu pourrais t'en tirer ; tel qu'expliqué précédemment, Win2000 a dépassé son espérance de vie et n'est plus supporté, alors il faut envisager le changement surtout si la machine est utilisée pour le surf. Il me reste une piste à explorer, si tu peux attendre quelques jours. Sait-on jamais... @+ Mark

C'est très bien ; il ne nous reste pas beaucoup de boulot Je dois quitter pour plusieurs heures alors je reviendrai dans la nuit pour te donner la suite. Vas-y à ton rythme, toi aussi, et reviens quand tu peux... Y a plus d'urgence alors on peut relaxer @plus tard, Mark

Excellent Il ne reste que quelques programmes à mettre à jour, deux à réinstaller (des bidules non essentiels massacrés par Bagle) et un ménage dans les outils. J'en aurai pour 30 minutes à préparer ça, bien tranquillement, mais là, je dois filer alors je repasserai dans la nuit (probablement), sinon demain. Ce sera terminé après @bientôt, Mark

Merci pour tout ça, K38 Je vais devoir chercher un brin. Dès que je trouve une piste, je te propose quelque chose. À très bientôt, Mark

Super. FindyKill a repéré le réinfecteur et tout devrait être propre maintenant ; en principe, pas de réinfections à l'horizon, mais c'est toi qui devra me le confirmer. Conseil : ne passe pas ComboFix sans qu'il soit prescrit par un bénévole ici ; tu peux aisément surveiller avec FindyKill option #1 (seulement) après 48 heures si tu veux. Si rien n'apparaît, ça sera bon. Il faut éviter les cracks (infectés à + de 85%), surtout que Bagle n'est pas la pire infection que tu peux croiser dans ces fichiers ; quand je dis pas la pire, c'est qu'il en existe qui exigent un formatage immédiat, alors cracks = roulette Russe et aucun antivirus ne peut te garantir une détection, surtout quand la bête est nouvelle. Je tenais à t'en avertir... ====================== Comment se comporte la machine ? Norton est toujours en fonction ? Je te passe un outil diagnostique tout simple, pour un petit examen final : Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) @+

Bon samedi ! Il n'y a plus rien d'actif ; le portable devrait se comporter normalement à présent. Les détections dans "C:\System Volume Information\_restore" ne sont pas dangereuses et on y verra. Il nous restera un peu de ménage à faire dans les quarantaines et les outils, mais on fera ça après avoir passé un dernier outil diagnostique qui nous permettra de voir plus large, de regarder pour des trucs pas à jour, etc... Rien de compliqué je t'assure : ================ Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches)

Bonne nouvelle ! Pour la quarantaine de MBAM, pas de soucis à te faire, ils sont sur la glace (à -273 degrés...hihi). Tu pourras vider ça à la toute fin. J'attends donc le rapport de MBAM et on pourra terminer. @+ Mark

C'est parfait comme ça Là je crois que la bestiole a quitté, ou devrais-je dire les multiples bestioles... Je ne peux pas voir si la Console a bien été installée ou pas, alors tu es la seule qui peut me le dire : lorsque tu démarres l'ordi, tu devrais avoir un nouvel écran (noir) qui te propose de démarrer Windows XP ou la Console de Récupération ; cet écran ne reste affiché qu'une seconde environ et ensuite Windows démarre normalement. Si tu ne vois pas cet écran, alors la Console n'y est pas ; pas trop grave car nous sommes venus à bout de l'infection (en tout cas j'espère ). Pendant que tout semble propre, je te fais repasser Malwarebytes' Anti-Malware (analyse rapide). Copie/colle son rapport ici, lorsque complété. @toute Mark

Pas de problème Je ne serai probablement pas très présent en soirée, mais je vais repasser durant la nuit (j'ai 6 heures de décalage avec Paris). Je vais t'écrire la procédure d'installation de la Console, pour t'éviter toute confusion possible à la lecture du Guide officiel : 1) Télécharge le fichier du lien suivant et sauvegarde-le sur ton Bureau : http://www.microsoft.com/downloads/details...;displaylang=fr 2) Tu fais ensuite un Glisser/Déposer de ce fichier sur ComboFix (Emma.exe) et l'installation de la Console devrait se lancer. 3) Lorsque l'opération sera terminée, ComboFix t'invitera à lancer une analyse : refuse en cliquant "Non". 4) Télécharge le second CFScript du site de Senduit (mon post précédent) et sauvegarde-le sur ton Bureau. Désactive AntiVir, puis fais un Glisser/Déposer de ce fichier sur ComboFix et l'analyse sera lancée. 5) Poste le rapport de ComboFix ici, dans ta réponse. Et bonne soirée Edit : j'étais en rédaction alors je n'avais pas vu ton tout dernier post. Oui la Console peut être installée avec le CD, mais c'est plus simple avec ComboFix je pense. À toi de juger Mark

Bien joué à nouveau La bête ne veut pas décoller car la Console de Récupération ne s'est pas installée... du moins c'est ce que je perçois. Il faudra installer la Console en manuel ; ne t'inquiète pas, c'est plutôt simple. Tu n'as qu'à suivre les instructions dans le guide : http://www.bleepingcomputer.com/combofix/f...manual_recovery > Va tout de suite au paragraphe "Si vous utilisez Windows XP et si vous n'avez pas le CD Windows". > Tu as XP Pro avec le Service Pack3, donc tu devras télécharger le fichier pour XP Pro SP2 (il fait l'affaire quand le SP3 est installé). > En fin d'installation, ComboFix te demandera si tu veux lancer une analyse tout de suite : clique "Non" et il va se fermer. Ensuite... je vais te faire lancer ComboFix à nouveau, avec un tout nouveau CFScript que je te mets sur Senduit : =========== Télécharge le fichier CFScript du lien suivant et sauvegarde-le sur ton Bureau (machine infectée) : http://senduit.com/344ad9 > Désactive à nouveau AntiVir > Fais un glisser/déposer du fichier CFScript sur ComboFix (Emma.exe) et laisse-le travailler. > Copie/colle le contenu du rapport ici, dans ta réponse. @+ Mark

Recoucou ; Si jamais tu avais des problèmes avec le Bloc notes... Je t'ai mis le fichier CFScript sur un site d'hébergement gratuit ; tu n'as qu'à le télécharger et le sauvegarder sur le Bureau. Ensuite, tu poursuis avec les instructions. Voici le fichier : http://senduit.com/844848 Bon succès Mark