Mark

Bien joué Emma Il y avait énormément de fichiers infectés et il en reste encore. Voici donc la suite : ===================== Petite note : la Console de Récupération n'a pas été installée en mode Sans Échec ; c'est Oké mais cette fois-ci, l'installation automatique te sera proposée, en mode Normal, donc tu n'auras qu'à accepter. **Il faudra désactiver temporairement AntiVir avant de relancer ComboFix : tu n'as qu'à faire un clic droit avec ta souris sur le parapluie (près de l'horloge - au bas à droite) et de cliquer (avec le bouton de gauche) sur "Activer AntiVir Guard" afin de le décocher. **Le script prescrit ci-bas a été préparé pour la machine de Emmacello seulement et ne dois pas être exécuté sur une autre machine** Ouvre un nouveau fichier du Bloc-notes (bouton "Démarrer" > "Tous les programmes" > "Accessoires" > "Bloc notes"), puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): http://forum.zebulon.fr/infection-antivirus-pro-2010-et-security-tool-t168973.html Collect:: C:\WINDOWS\system32\surek.dat C:\WINDOWS\ivonojed.com C:\Documents and Settings\Emma\Application Data\debanotig.dat C:\Documents and Settings\Emma\restorer64_a.exe C:\Documents and Settings\Emma\Application Data\seres.exe C:\Documents and Settings\Emma\Application Data\svcst.exe Folder:: C:\Documents and Settings\All Users\Application Data\48639333 Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "restorer64_a"=- "mserv"=- "svchost"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "restorer64_a"=- *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier Emma.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Fais ça doucement et tout ira bien @toute Mark

Bonjour Oui c'est normal. Le PC infecté n'est tout simplement pas configuré pour afficher les extensions de fichiers dont le type est connu, incluant l'extension ".exe" Pas de problème... @+

Bah il faut juste faire tout ça calmement, sans précipiter. Ces infections sont brutales et touchent le système en profondeur ; la désinfection peut être longue mais on y arrive, généralement, si la machine tient le coup. chrifleur a tout à fait raison quant à l'aide reçue sur différents forums et je lui lève mon chapeau d'avoir repéré la discussion ici. Suivre des instructions sur deux (ou +) forums en simultané, c'est risqué, sans mentionner le temps précieux investi par plusieurs bénévoles qui ne savent pas ce que tu fais ailleurs. Je te laisse bosser @+

Un beau bonjour à chrifleur ! C'est trop, vraiment trop (de pression ) Si on peut t'éviter une visite à l'atelier, je suis partant. Mais aucune garantie, surtout.. @+

Bonjour Emmacello ; je te souhaite la bienvenue sur le forum Difficile de savoir si on peut nettoyer tout ça, suite à tes manipulations et à l'évolution de l'infection, mais on peut tenter quelque chose : ================== De la machine saine, télécharge ComboFix du lien suivant : http://download.bleepingcomputer.com/sUBs/ComboFix.exe - Renomme le fichier (ComboFix.exe) en Emma.exe - Place ComboFix sur une clé USB ou autre support amovible - Démarre la machine infectée en "Mode Sans Échec avec prise en charge réseau" - Dépose ComboFix (Emma.exe) sur le Bureau - Exécute l'outil tel que décrit dans le guide officiel (lien ci-bas) et il faut surtout permettre à ComboFix d'installer la Console de Récupération. http://www.bleepingcomputer.com/combofix/f...iliser-combofix > Lorsque l'outil aura complété son travail (s'il y arrive), la machine devrait redémarrer en mode Normal. Un rapport sera généré. Copie/colle le contenu de ce rapport ici, dans ta réponse. Si tu ne trouves plus le rapport, il sera sauvegardé à C:\ComboFix.txt Bon succès.. Mark

Oui c'est normal qu'il disparaisse ; ça fait partie de son jeu (à Bagle). On appelle ça un rootkit Bon alors l'infection s'est recréée, effectivement, et on peut voir un Autorun de support amovible qui peut en être la cause. La prochaine étape : toute simple... Rebranche les supports amovibles et lance FindyKill avec l'option #2 (Nettoyage). Accepte les invites et laisse l'outil travailler. Ce sera un peu plus long car l'outil fera une analyse pour fichiers corrompus également. Copie/colle le contenu du rapport ici, dans ta réponse. Je repasserai dans quelques heures. @toute Mark

Bonsoir à vous deux Petite intrusion rapide qui, je l'espère, aidera un brin... Kaspersky ont eu des problèmes avec cette détection par la passé (récent - 2008/2009) mais je croyais que c'était corrigé (??). Il s'agit bien d'un faux positif, confirmé par Virus Total, et c'est bien un pilote Intel pour les claviers. Il faudrait passer à la version 2010 de Kaspersky je pense... @+ Mark

Bonjour Daniel Nous avons des règles claires quant aux interventions sur le forum de désinfection, incluant qui peut aider/contribuer dans les discussions. Cela dit, nous ne sommes pas fermés aux avis d'experts reconnus. Pour ce qui est de notre membre, on lui a demandé de poster un rapport de Norton afin de vérifier la source des alertes. Toi, tu lui demandes de désactiver la Restauration Système. J'ai un petit problème avec cette approche et j'explique : il peut y avoir des fichiers infectés en Restau, effectivement, donc en principe on élimine ces détections en vidant la Restau. Logique. Par contre... nous n'avons pas encore le rapport donc pourquoi cibler la Restau ainsi, à l'aveugle ? La Restau peut servir pour un dépannage éventuel, même si des fichiers infectés s'y trouvent ; ce principe de base semble échapper aux gens d'antivirus... Si tu vides la Restau en toute hâte, tu supprimes ton filet de sécurité et toute possibilité de retour en arrière, si pépin. Faudrait voir un rapport de Norton avant toute chose... Unsub : regarde dans les options de Norton et tu devrais trouver pour les rapports. Sinon, note le message d'alerte (en détail) et poste-le ici, tout simplement. Merci

Non-non ça va, tout est réglo. Merci pour le rapport Ce qui m'embête, c'est que Bagle est revenu avec le premier passage de ComboFix, donc il y a eu réinfection ; ceci n'est pas rare avec Bagle mais il faut trouver la source, qui peut être le crack téléchargé, une clé USB infectée ou bien ce que j'appelle le "réinfecteur" qui peut avoir été loupé par ComboFix (rare par contre). Voici ce qu'on va faire : ================ Télécharge FindyKill (de Chiquitine29) sur ton Bureau : http://pagesperso-orange.fr/NosTools/Chiqu...9/FindyKill.exe - Avant de le lancer, branche ta ou tes clés USB utilisée(s) récemment, disque dur externe (si pertinent) ou tout autre lecteur amovible utilisé récemment (carte mémoire, lecteur audio, etc...) - Lance FindyKill par double-clic et choisis l'option #1 (Recherche) - Copie/colle le contenu du rapport ici, dans ta réponse. @toute

Salut Maël Ça me fait toujours plaisir d'aider, quand je le peux, et merci à toi En terminant, je tenais à te dire que même si tu utilises FireFox (très bien), il faut absolument maintenir IE à jour donc à sa plus récente version. La raison est simple : IE et Windows sont intimement liés et les failles exploitables présentent un risque réel, même si le navigateur n'est pas utilisé. Nous voyons maintenant des malwares attaquer un navigateur en passant par un autre (de FF à IE, de IE à FF, de Opera à IE, etc...). Même si tu ne l'utilises pas couramment, IE est nécessaire pour un minimum de tâches, telle la mise à jour de Windows via Windows Update. Maintenir IE à jour est simple et peut prévenir des malheurs. Sur ce, je mets ton sujet en Résolu et te souhaite du surf paisible @+ Mark

Bonsoir raist30 Heureux d'entendre que tout va bien à présent. Quelques mots au sujet des "keyloggers", si tu me permets : Si un ou plusieurs antivirus réputés couinent lorsqu'un tel produit est détecté/installé, il y a matière à réflexion... Ces programmes existent, sous forme dite légitime, et certains coûtent assez cher. Il faut tout d'abord réaliser qu'un tel programme se doit d'être quelque peu "furtif" pour plaire aux acheteurs éventuels. Voilà un des gros problèmes. En voulant se cacher, les codeurs doivent utiliser des techniques connues des malfaiteurs, d'où les détections d'antivirus. Qui plus est, ces programmes ouvrent souvent des ports sur la machine, ce qui facilite la "communication" avec leurs serveurs et aussi avec le demandeur à distance (selon le programme et les options). Ceci est un risque potentiel et non négligeable pour la machine. Autre risque non dévoilé par les éditeurs de tels programmes : les rapports d'activités transitent via leurs serveurs alors ils ont accès à toute l'information, incluant captures d'écrans, mots de passe, informations bancaires, conversations personnelles, etc... On leur fait confiance aveuglément ? Qui sont-ils exactement ? Si le keylogger est installé pour faire du contrôle parental, il faut regarder pour une autre option. S'il est utilisé pour faire de l'espionnage, en industrie par exemple, ben il faut établir un code de conduite adéquat et en avertir les utilisateurs (surveillance et sanctions possibles). Pour tout autre utilisation, je m'abstiens de commentaires car un sujet plutôt sensible... Un collègue (Gof) a posté un sujet intéressant sur le contrôle parental, si pertinent pour toi : http://forum.zebulon.fr/contrle-parental-t147678.html @+ Mark

Y a pas de quoi Pour la bière, Merci, je vais en boire une à ta santé (ou devrais-je dire à la santé de ta machine !) Je dois remercier l'autre membre, qui avait un gros Bagle sur XP 64, avec qui j'ai pu apprendre quelques trucs. Cette version de XP est tellement rare que nos développeurs d'outils ne s'y sont pas penchés, ou très peu, indirectement. Conserve Malwarebytes' Anti-Malware que tu pourras lancer périodiquement ; il faut juste le mettre à jour manuellement, via l'onglet "Mise à jour" au préalable. AntiVir est excellent aussi, et compatible pour XP 64, ce qui est rare de nos jours. Tu sembles tourner avec seulement IE6 ; il faudrait passer à IE8 car la version 6 est criblée de failles de sécurité. Je ne sais pas si IE8 tourne sous XP 64, mais ça devrait (voir ici). Je constate aussi qu'il n'y a pas de SP3 disponible pour XP 64 bits (plateforme Windows Server 2003 et non XP conventionnelle), alors maintiens simplement le système à jour via Windows Update. Petit ménage des outils : - Lance OTL.exe et clique le bouton "CleanUp". Si un redémarrage est nécessaire, accepte. - Lance FindyKill et choisis l'option #3 pour désinstaller ; si l'outil ne se lance pas, supprime simplement le répertoire "C:\Findykill" - Supprime le répertoire "C:\ComboFix", s'il existe, et l'outil du Bureau (ComboFix.exe) - Supprime les fichiers texte (rapports) générés par les outils. C'est tout Bon surf et... prudence surtout. @+ Mark

Oké, on va regarder un peu plus en profondeur. Je vais te demander deux exports de clés de registre (juste des exports, pas de manipulation/correction pour l'instant..) et aussi la taille des deux répertoires "i386" présents sur ta machine : ================== Clique sur "Démarrer" >> "Exécuter..." et copie/colle la ligne suivante dans la boîte puis clique "OK" : regedit /a C:\look1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup" > L'opération sera accomplie très rapidement, sans confirmation ni rapport qui apparaît à l'écran. Le rapport est cependant créé et sauvegardé là >> C:\look1.txt Refais la même manip, mais avec la commande suivante : regedit /a C:\look2.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup" > Un second fichier sera créé et sauvegardé là >> C:\look2.txt >> Copie/colle le contenu de ces deux fichiers ici, dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ensuite, repère les deux répertoires i386 (dans "Winnt" et "Program Files"), fais un clic droit dessus > "Propriétés" et note leur taille. J'aimerais également que tu me donnes le chemin complet de celui dans "Program Files" s'il te plaît, où bien est-ce plutôt "ServicePackFiles" ? Merci Mark

Bonjour cavokalain ; Merci pour le rapport Je ne vois rien d'actif dans ce rapport (bonne nouvelle). Tu as cependant lancé ComboFix deux fois et j'aimerais voir le rapport du premier passage ; je te dirai où le retrouver ci-bas. Autre point : tu n'as pas désactivé Norton lors du lancement de ComboFix, ce qui peut gêner considérablement le travail de l'outil ; avec Bagle, c'est plus complexe car il a tendance à massacrer les antivirus et pares-feu présents sur la machine. Dans ton cas, Norton semble toujours en vie mais peut-être pas complètement... Tu pourras me dire s'il semble bien fonctionner, ou pas. Possible qu'il faille le désinstaller/réinstaller. As-tu noté l'alerte d'intrusion de Norton ? J'aimerais bien en connaître la nature, si possible. Pour le premier rapport de ComboFix, tu le trouveras là >> C:\Qoobox\ComboFix2.txt > Ne relance surtout pas l'outil ; copie/colle simplement le contenu de ce rapport ici, dans ta réponse. Et parle-moi de cette intrusion @+

Salut Parfait pour AntiVir. Pour le mode Sans Échec, voici quoi faire : ============= Ouvre un nouveau fichier du Bloc notes, puis copie/colle le contenu de la boîte "Code" ci-bas dans ce fichier (sans le mot "Code" ) : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal] [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dmserver] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\EventLog] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\SRService] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network] [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\AFD] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\AppMgmt] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Base] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Boot file system] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Browser] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\CryptSvc] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Dhcp] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dmadmin] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dmio.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dmload.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dmserver] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\DnsCache] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\EventLog] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\File system] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\HelpSvc] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\LanmanServer] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\LmHosts] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Messenger] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NDIS] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Ndisuio] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetBIOS] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetBT] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Netlogon] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetMan] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Network] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\PlugPlay] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\PNP Filter] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Primary disk] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\RpcSs] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SCSI Class] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SharedAccess] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SRService] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\Tcpip] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\TDI] @="Driver Group" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\termservice] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\UploadMgr] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\vds] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\vga.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys] @="Driver" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\WinMgmt] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\WZCSVC] @="Service" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}] @="Universal Serial Bus controllers" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}] @="CD-ROM Drive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}] @="Standard floppy disk controller" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}] @="Hdc" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}] @="Keyboard" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}] @="Mouse" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}] @="Net" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}] @="NetClient" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}] @="NetService" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}] @="NetTrans" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}] @="PCMCIA Adapters" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}] @="SCSIAdapter" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}] @="System" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}] @="Floppy disk drive" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}] @="Volume" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}] @="Human Interface Devices" ** Note : ce fichier est conçu spécialement pour XP 64 Bits ** Du menu "Fichier" >> "Enregistrer sous..." ; > Dans la fenêtre de sauvegarde, nomme le fichier : SafeBootFix.reg > Juste au-dessous du nom, change le "Type:" à "Tous les fichiers (*.*)" > Choisis le Bureau comme destination et clique le bouton "Enregistrer" >> Double-clique maintenant sur le fichier SafeBootFix.reg situé sur le Bureau, accepte son exécution et la fusion avec le registre. Essaie le mode Sans Échec à nouveau. Tiens-moi au jus... @toute Mark

Rien de tel que l'apprentissage ; moi ça se poursuit tous les jours C'est bon pour AntiVir, mais confirme-moi que le bouclier fonctionne (parapluie visible et ouvert), car Bagle aime bien massacrer les boucliers d'antivirus. Si tu ne vois pas le parapluie près de l'horloge, tu devras désinstaller puis réinstaller AntiVir. Un autre truc que j'avais oublié de te demander : le mode Sans Échec fonctionne-t-il sur la machine ? Bagle massacre ça, aussi, mais peut-être pas sur ton XP64. Il serait sage de vérifier, car nous pourrons le réparer si nécessaire. Pour vérifier : redémarre la machine et tapote la touche F8 après le "bip" (ou après le chargement de la page du BIOS) ; choisis "Mode Sans Échec" et valide ensuite l'invite. Si tu te rends jusqu'au Bureau, c'est bon, tu peux redémarrer en Normal. Fais-moi signe si ça coince... @toute

Bah j'ai rien fait moi Assure-toi que le bouclier d'AntiVir fonctionne : le parapluie près de l'horloge doit être ouvert. J'ai eu un autre cas de Bagle sur XP64 et je croyais sincèrement ne plus jamais en revoir, vu la rareté de ce système. L'autre avait été un peu plus infecté par contre, mais le nettoyage s'était bien déroulé avec un peu d'improvisation Pourrais-je juste consulter un rapport d'AntiVir, pour constater l'origine des avertissements ? Ces derniers sont probablement normaux (AntiVir ne pouvant ouvrir certains fichiers système). Pour retrouver les rapports, lance le programme (double-clic sur le parapluie) : menu "Affichage" >> "Aperçu" >> "Rapports" et choisis-moi le plus costaud. Copie/colle son contenu ici pour vérification, s'il te plait. @+ Mark

Merci pour les rapports Ah, c'est un Serveur 2003 (ou un XP64) et non un Vista64 ; nos outils ne sont pas vraiment compatibles avec la plateforme Serveur 2003 / XP64, mais ça a tourné. Aucun signe de Bagle là, alors je soupçonne qu'AntiVir ait fait du nettoyage ? Comment se comporte la machine à présent ? @+

Bonjour cavokalain ; j'en profite pour te souhaiter la bienvenue sur le forum Tu as probablement lu qu'il n'est pas du tout conseillé de passer ComboFix sans être guidé. Bon, c'est fait, alors on va poursuivre. Bagle infecte les supports amovibles alors il serait déconseillé de brancher une clé USB qui a été en contact avec le PC infecté, à moins que celle-ci n'ait été branchée lors de l'analyse avec ComboFix. Voici ce qui serait le plus sage : rebranche le modem sur le PC et utilise-le pour poster ton rapport de ComboFix ici. Si ComboFix a bien tourné, Bagle devrait (en prinicipe) être neutralisé. Même s'il ne l'était pas, je préfère que tu utilises le PC plutôt que de risquer l'infection sur le portable. J'attends donc ton rapport de ComboFix. Edit : tu trouveras le rapport sauvegardé ici >> C:\ComboFix.txt @toute Mark

Bonjour K38 Non, malheureusement, si tu veux utiliser un CD, il faut celui de 2000. Oké, on peut essayer une vérification des fichiers via le i386 ; il faut modifier une petite valeur dans le registre : - Clique sur le bouton "Démarrer" >> "Exécuter..." puis tape regedit et clique "OK" ; - Via l'arborescence, recherche la clé suivante (dans le volet de gauche) : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup > Clique une seule fois sur "Setup" pour la sélectionner ; > Dans le volet de droite, double-clique sur la valeur "SourcePath" ; >> Dans la nouvelle fenêtre (Modification), remplace la "Donnée de la valeur:" en tapant : C:\Winnt >>> Clique "OK" - Redémarre la machine. Après redémarrage, fais ceci : > Bouton "Démarrer" > "Exécuter..." puis tape (ou copie/colle) la commande suivante dans la boîte : sfc /scannow (note : il y a bien un espace après sfc) > Clique "OK" Si tout va bien, le vérificateur de fichiers système va se lancer sans te demander le CD de Windows. Si des fichiers corrompus ou manquants sont détectés, ils seront remplacés. Il n'y aura pas de rapport généré suite à cette opération (dommage, je sais..). Reviens nous dire si ça a marché et si des fichiers ont été remplacés. @toute Mark

Bonjour McMurphy ; je te souhaite la bienvenue sur nos forums Tout d'abord, merci pour ta franchise === Effectivement, il y a peu d'outils qui tournent sous 64 bits. Si tout va bien par contre, Bagle n'aura pas pu s'implanter en profondeur et on lui fera la peau sans trop de sueurs. Mais il peut toujours y avoir des surprises. Allons-y : 1) Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. ~~~~~~~~~~~~~~~~~ Reviens ensuite avec le rapport créé par l'outil suivant : 2) Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/OTL.exe - Lance l'outil par double clic ; - Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) : >> Sous Extra Registry, coche Use SafeList >> Vers le haut, coche Scan All Users - Clique maintenant sur le bouton "Run Scan" - Deux rapports seront générés par OTL, soient OTL.txt et Extras.txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches. - Copie/colle le contenu des deux rapports ici, dans ta réponse, s'il te plaît. @toute

Bonjour à vous deux Pour réparer Win2000, il lui faudrait le CD d'installation et je pense qu'il ne l'a pas... K38 : connais-tu quelqu'un qui a un Win2000 toujours en service ? Si oui, avec le SP4 ? ComboFix ne peut pas installer la Console de Récupération sur un Win2000, malheureusement, donc on ne peut lui demander de remplacer le fichier manquant, ni ceux qui ont échoué au sigcheck... Un sfc /scannow ferait peut-être l'affaire aussi, mais il faut un CD de Windows (2000). On pourrait contourner, peut-être, mais juste si le répertoire C:\i386 est présent sur la machine ; tu pourrais vérifier s'il te plaît ? Si oui, on pourra tenter quelque chose... @+

Je surveille la lutte contre les malwares sur plusieurs forums (partout) et je vois beaucoup d'outils. Jamais vu celui de Norman en action. Cela ne veut pas dire qu'il est mauvais par contre. Je vais essayer de le tester, en présence de quelques bestioles courantes, mais là le temps me manque alors je ne peux te dire quand je le ferai. Il est offert via des sites connus, alors déjà je peux croire qu'il n'est pas horrible @+

Rien à signaler, effectivement. Je te signale par contre que l'analyse "Rapide" est suffisante (ça vient du codeur en chef lui-même..). L'analyse complète est offerte, mais toutes les bestioles connues de l'outil sont détectées en "rapide". Et ça ne prendra pas 2 heures 34 minutes pour scanner ta machine... @+ Mark PS: Y a pas de quoi

Oké écoute... Pour papa, fais ceci : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, décoche la case Afficher le contenu des dossiers système Coche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Voilà. Il ne verra plus le "Recycler", qui est un répertoire système et caché par défaut. Comme il se doit. S'il veut une capture de ma machine XP, je lui en fournirai une Tom MP4 : patience... Thanos sera de retour et tu n'auras pas à le "jeter", fort probablement @+