Mark

Bonsoir à vous deux ; Je suis curieux, c'est vrai, mais c'est dans ma nature alors je plaide non coupable à toutes les accusations lucetflo : avant de lancer ComboFix, on doit regarder un truc ; Est-ce toi qui bidouille avec la date de ton système ? Je m'explique... USBFix se croyait le 24 Juillet 2548. L'outil RSIT, pour sa part, dit avoir été lancé le 27 Juillet 2005 ; lorsqu'il énumère les fichiers créés récemment, il ne voit pas plus récent que le 16 Janvier 2009. Merci, et bonne continuation.

Bonsoir ; Ça me semble normal, avec un pilote dont le nom est aléatoire et créé à chaque démarrage. Il s'agit probablement d'un Service légitime, lié à un programme de protection. Je n'ai malheureusement pas le temps pour tout reviser - tout de suite. Je ne reviendrai dans plusieurs heures seulement, durant la nuit. D'ici là, peux-tu me dire si Malwarebytes' Anti-Malware a réussi à tourner initialement ? Et as-tu noté des messages d'erreurs pour les outils qui ne tournaient pas ? À bientôt, Mark

Bonjour chantounette et pear Chantounette : attends un brin avant de relancer SysProt. Pas sûr que ces pilotes soient néfastes. As-tu réussi à lancer une analyse avec Malwarebytes' ? Obtiens-tu des erreurs spécifiques avec les outils qui refusent de tourner ; si oui, lesquelles ? @bientôt,

Bonsoir jejedu83 Désolé pour le délai de réponse... et merci pour ce rapport qui correspond bien à ce que je t'avais demandé. Rien de méchant là-dessous, et rien qui explique le comportement du Centre de Sécurité. Je vais donc te demander un export de clé de registre (c'est sans danger), juste pour m'assurer du contenu de celle-ci : ================== Clique sur le bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" : regedit /a C:\look1.txt "HKEY_LOCAL_MACHINE\software\microsoft\security center" Tu devras aller ouvrir le rapport généré, qui se trouve à : C:\look1.txt >> Ouvre le fichier par double-clic, puis copie/colle son contenu ici, dans ta réponse. @+

Bonjour Apollo, sebah Juste une petite remarque au sujet de protect.dll : ComboFix l'a supprimé, ainsi que sa valeur sous clé Run devenue orpheline suite à la suppression du fichier : Protect.dll (en gras) et sa valeur ont été supprimés. Le Service AlerterALG a été viré pas la suite avec MBAM. Les deux Drivers/Services en rouge sont toujours là (rootkit) mais plus actifs semble-t-il. Faudra juste virer ces Services. La partie en bleu : tu sais ce que c'est, sebah ? D'après mes recherches, il s'agit d'un fichier d'exécution sur lecteur amovible : le nom "vozacka" signifierait "pilote" (ou "driver" en anglais) dans la langue Serbe. Voilà.. @+

Salut jejedu83 ; D'accord. On va fouiller un peu plus creux : ==================== Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) On fera certains réglages, si les rapports nous montrent des anomalies. @+

Heureux d'entendre ça, Hart Tout m'a l'air à jour et tu sembles être Oké niveau protections. Juste quelques lignes inutiles que tu peux "fixer" avec HijackThis (rien de méchant - des restes), alors lance HijackThis et clique "Do a system scan only", puis coche les deux lignes suivantes : ----------------------------------------------- R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) ----------------------------------------------- Ferme les fenêtres de navigateur puis clique le bouton "Fix checked". Pas nécessaire de poster un nouveau rapport. Tu peux conserver Malwarebytes' Anti-Malware et faire des analyses rapides périodiquement. IL faut juste le mettre à jour manuellement, via l'onglet "Mise à jour" (pour info : une licence te donnerait les MAJ auto ainsi qu'un bouclier en temps réel). Alors bon surf, avec prudence toujours Mark

Bonjour Unlucky Ça m'a l'air tout propre à présent. Faisons du ménage dans les outils utilisés : ============= - Supprime List'em et Kill'em - Lance FindyKill et choisis l'option #3 - Désinstallation. - Clique sur le bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u > Ceci désinstallera ComboFix proprement. C'est rapide et tu auras confirmation à l'écran. Si jamais tu sentais le besoin de passer ComboFix sur ta machine à nouveau, passe nous voir pour des conseils - Lance OTL.exe et clique sur le bouton "CleanUp" > L'outil t'invitera à redémarrer la machine : accepte. ~~~~~~~~~~~~~~~~~~~~~~~ Voilà pour le ménage. Quelques consignes toutes simples : fais les MAJ de ton antivirus et de Windows régulièrement. Prudence lors du surf surtout ; évite les sites et programmes à haut risque (P2P, Torrents, cracks et autres). Si questions, pas de gêne surtout Bon surf.

Bonsoir Freeboy Un Google rapide me montre quelques cas similaires, avec BitDefender. Autre point à ne pas négliger ici : HijackThis n'est pas codé pour les systèmes 64 Bits, alors certaines lignes peuvent montrer "(file missing)" alors que c'est tout le contraire. Ne pas se fier à HijackThis sous 64 Bits. Connais-tu Malwarebytes' Anti-Malware ? Il tourne bien sous 64 Bits et pourrait te rassurer quant à la propreté de ta machine. Semblerait que les gens chez BitDefender soient au courant du problème. D'après ce que je lis, la non reconnaissance par le Centre de Sécu est un phénomème obscure, c'est-à-dire présent sur certaines machines mais pas toutes, il qu'il disparaît souvent sans trop savoir pourquoi/comment. Suggestion : maintiens ta suite BD à jour religieusement et surveille ; ça pourrait se régler "tout seul". @+

Bonjour jejedu83 Ma réponse sera vague, malheureusement, mais on pourra regarder quelques trucs. Si je dis vague, c'est simplement parce qu'il semble y avoir mésentente entre les produits d'Avira et le Centre de Sécurité. Sur ma machine Vista, le Centre de Sécu ne m'alerte plus lorsqu'AntiVir n'est pas à jour et pourtant tout est paramétré en ce sens. J'ai essayé beaucoup de choses, mais rien à faire (réinstallation de l'antivirus, bidouillage prudent et guidé dans le registre, installation du SP2, etc...). J'ai vu d'autres cas semblables sur les forums aussi. Sur ma tour, le Centre de Sécu réagit seulement lorsque je désinstalle AntiVir, mais pas lorsqu'il n'est pas à jour ni lorsque je désactive la protection résidente. Et pourtant tout est indiqué lorsque je vais voir directement dans le Centre de Sécu. Je vais probablement trouver la soluce, un jour, si MS ne corrige pas d'ici là. Tu es sous XP ou Vista ? Tu as scanné la machine pour la présence (possible) de bestioles, avec Malwarebytes' Anti-Malware par exemple ? @ te lire..

Bonjour Unlucky ; Ben dis donc, t'as eu un peu de veine, finalement. Tu pourrais même changer ton pseudo et mettre "Lucky" ComboFix t'a viré ce mslsrv32.exe, mais je croyais qu'il aurait eu beaucoup plus de boulot à faire... Tu as mentionné sys32_nov.exe dans ton premier message et lui, quand il s'installe, c'est la galère assurée. Tant mieux, c'est terminé là. Dans ton dernier message, tu mentionnes ceci : Moi je constate qu'il n'est plus là, alors je te prie de me faire signe si tu le vois toujours. Je te fais passer un dernier outil, non prescrit jusqu'à maintenant (je crois), juste pour voir si des restes traînent derrière : Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. @+

Merci Unlucky ; je crois tout avoir. J'ai pas tout pris, mais l'essentiel. Je regarde ça lorsque j'ai 15 minutes et je te fais signe. @+

Bonsoir Unlucky ; Merci de m'informer pour CCM ; j'apprécie Ça m'a l'air pas mal comme rapport ; la machine se comporte bien ? Avant de te faire passer quoique ce soit, j'aimerais consulter ton topo sur CCM, pour me mettre au parfum. J'attends donc le lien vers le sujet et j'examinerai ça de près. Merci à l'avance, et @+ Mark

Bonsoir Unlucky ; Edit : je te souhaite la bienvenue sur notre forum On connait bien cette infection, effectivement, avec les alertes "Total Security", et tout et tout. Le problème de regénération provient d'un fichier système injecté et, de plus, un processus bloque les antivirus donc ils ne peuvent désinfecter correctement (ou pas du tout). Deux trucs avant de débuter : 1) Si ton Avast! Pro n'est pas légitime, vire-le s'il te plaît. Si tu as une licence valide, ne lis pas ma phrase précédente 2) Ne réponds pas sur CCM, si quelqu'un passe par là. Il est dangereux de suivre les instructions de deux bénévoles pour un même problème. Je t'invite à télécharger puis lancer l'outil ComboFix, selon les instructions du guide officiel que tu trouveras là : http://www.bleepingcomputer.com/combofix/f...iliser-combofix ** Il y a un détail important qui n'est pas dans le guide (seulement pour quelques infections) : lorsque tu téléchargeras l'outil ComboFix, tu devras le renommer avant de le sauvegarder sur ton Bureau. Fais un clic droit sur le lien de téléchargement (dans le guide) et choisis "Enregistrer la cible du lien sous..." puis renomme l'outil en Unlucky.exe avant la sauvegarde. Pour le reste des instructions, tout est là, et permets surtout à ComboFix d'installer la Console de Récupération, qui devrait normallement être proposée au lancement de l'outil (tout est dans le guide). Après le passage de ComboFix, reviens nous mettre le rapport ici pour examen. Bon succès...

Excellent Je te fais désisntaller ComboFix proprement (outil à ne pas conserver) : - Bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u > La désinstallation sera rapide, avec confirmation. Conserve Malwarebytes' Anti-Malware ; la version gratuite ne propose pas de boucliers ni de MAJ automatiques, mais tu peux le mettre à jour manuellement (onglet "Mise à jour") et tu peux faire des examens rapides, périodiquement. Assure-toi de maintenir l'antivirus et Windows à jour. Le plus important, côté prévention : les habitudes de surf... Je pourrais te faire mettre des couches et des couches de protection, mais tu as l'essentiel et il ne suffit que d'un "clic" pour permettre aux bestioles de contourner les plus solides barrières, alors la prudence est en tête de liste. Repasse nous voir avec le portable , dans un nouveau sujet (si nécessaire). Ne passe pas les gros outils seul ; demande-nous, on est là pour ça Bon surf, et à bientôt peut-être. Cordialement, Mark

Boonjour fran56 Ça m'a l'air propre maintenant. Oké pour Avenger, je comprends, mais fais très attention à l'avenir avec les gros outils et demande conseil avant de les passer (Avenger et ComboFix, entre autres...) ; ça pourrait t'éviter des soucis J'attends ta confirmation que tout tourne bien et on fera un petit ménage pour terminer. @+

Bonjour kaoula Alors le vérificateur de fichiers système a remplacé quelques fichiers... Ok. Ceci indique qu'à tout le moins, il y avait quelques dégâts dans le système. Maintenant, je ne vois rien d'inquiétant dans les derniers rapports et la machine semble bien tourner alors je n'insiste plus pour ComboFix. Ma seule inquiétude : si la machine devient infectée à nouveau et que certains outils refusent de tourner, ça compliquera les choses. Bah on verra à ce moment-là, si jamais... Possible aussi que le problème ne réapparaisse tout simplement pas ; les mystères de Windows, quoi. Avant de faire le ménage dans les outils, je veux simplement que tu me dises si la machine se comporte bien, qu'il ne semble y avoir rien d'anormal. @toute

Salut Artur Merci pour les commentaires Je dois faire vite (manque de temps), alors voici un petit survol : Virut infecte tous les exécutables (.exe et .scr) ; ça on le sait. Les fichiers .htm, .html et .php aussi (via un iFrame). Un seul de ces fichiers infectés peut relancer l'infection en grande, rapidement, si laissé derrière. Les archives qui contiennent un ou des exécutables sont attaqués aussi. Les programmes également, puisqu'ils contiennent des fichiers exécutables. Maintenant, les partitions et disques supplémentaires : plus compliqué là... Si le disque ou la partition ne contient que des fichiers perso non exécutables et qu'il n'y a pas de fichiers .htm, .html et .php, ça devrait aller. Si le disque contient un mélange de données + des programmes/exécutables, le risque est très élevé, surtout si des fichiers ont été transférés lorsque la machine était infectée. Risque à 100% pour une partition qui contient des programmes lancés via la partition système. Cela dit... il n'est pas impossible de prendre un disque infecté, de le connecter en "slave" et de le scanner avec un antivirus compétent et à jour pour la variante de Virut présente. On laisse l'antivirus nettoyer et on espère qu'il nettoie tout (pas garanti...). Méthode plus sûre pour un disque infecté : on y récupère les données essentielles en le branchant en "slave", puis on le formate, surtout s'il y avait Windows dessus qui était infecté. Ne pas sauvegarder les programmes ou fichiers exécutables... surtout pas. Pour le cas isolé où des images, fichiers .doc et .pdf étaient infectés : suivre ma méthode dans l'autre discussion qui, je pense, est assez sécuritaire et permettra de conserver les précieux fichiers... =========== Si questions, pas de gêne. Je repasserai durant la nuit. @+ Mark

Merci pour ce rapport Ça a l'air Oké, donc je te fais vider la Restauration, comme ceci : - Clic droit sur le Poste de Travail >> "Propriétés" >> onglet "Restauration du système" : - Coche pour activer la case "Désactiver la Restauration du système" - Clique le bouton "Appliquer", puis confirme à l'invite. Clique ensuite sur "OK" - Pour réactiver la Restauration, même endroit et tu décoches la case "Désactiver la Restauration du système" - Clique "OK" Ça devrait aller. Si questions, pas de gêne. @+

Salut kaoula Vraiment embêtant, pour ComboFix... Le dossier "70969-CF" (qui est vide), tu peux le supprimer, mais laisse les autres pour l'instant. Il y a quelques possibilités à explorer, peut-être, mais il faut peser les risques, surtout que la machine semble bien tourner en ce moment. Une vérification des fichiers système peut être tentée sans soucis ; voici comment faire : - Assure-toi d'avoir le CD de XP sous la main, mais ne l'insère pas tout de suite. - Clique le bouton "Démarrer" >> "Exécuter..." et tape ceci dans la boîte : sfc /scannow (il y a un espace après sfc) - Clique "OK" - Le vérificateur de fichiers système sera lancé ; si un ou des fichiers corrompus sont détectés, il se peut qu'on te demande d'insérer le CD. Fais-le si demandé. - La progression sera affichée ; il ne suffit que de patienter. Il n'y aura pas de rapport généré. >> Dis-moi comment ça s'est déroulé, puis lance RSIT à nouveau et poste son rapport ici, s'il te plaît. @+

Il et coriace, le petit fichier... mais il ne devrait pas résister à ce qui suit : ============= Supprime l'outil ComboFix qui se trouve sur ton Bureau (nommé 23121957.exe je crois), puis télécharge une copie fraîche de l'un des deux liens suivants et sauvegarde-le sur ton Bureau (pas nécessaire de le renommer) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe Désactive ton antivirus temporairement pour permettre à ComboFix de tourner librement. **Le script prescrit ci-bas a été préparé pour la machine de fran56 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): File:: C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32\perfdm32.dll Folder:: C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32 Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "perfdm32"=- DirLook:: C:\Avenger *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ~~~~~~~~~~~~~~ Vendredi dernier, en soirée, tu as utilisé l'outil Avenger sans dire le moindre mot ici... J'aimerais que tu me dises pourquoi tu as fait ça, qui te l'a suggéré et ce que tu as fait avec cet outil très puissant et pointu (sans notre supervision). Avenger, mal utilisé, peut détruire un système, alors je te conseille amicalement de ne plus y toucher. J'attends donc le rapport de ComboFix et on pourra ensuite faire du ménage dans les outils. @+

Bonjour yoyothebest ; Je t'invite à lire la FAQ de fonctionnement de cette section : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué. Juste au passage : même si le rapport HijackThis ne montre rien d'infectieux et qu'AntiVir bippe sur un fichier en Restauration, il faut réaliser qu'il y a eu infection sur la machine et qu'HijackThis ne voit pas tout. La Restau peut être utile et il ne faut pas la vider sans regarder un peu plus loin, dans un tel cas. =============== Hart : Bonjour La ligne O2 dont tu fais mention est un reste de Windows Live Messenger (pas nocif), Une autre ligne au-dessus: R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) ...est d'Orange (le FAI), donc pas nocif. À nos moutons maintenant. Possible qu'il ne reste plus rien d'infectieux sur ta machine, mais on va tout de même vérifier avant de te faire vider la Restau : Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. @+

Fichier bien reçu ; Merci Le dossier ne contenait qu'un seul fichier : perfdm32.dll, que j'ai également passé chez Virus Total. Mêmes résultats que toi : http://www.virustotal.com/fr/analisis/4637...3234-1252191331 Seul PrevX le signale, mais ils ont raison. Pas très méchant lorsque tout seul (c'est le cas sur ta machine en ce moment), mais on va le virer. Supprime simplement le dossier (clic droit dessus > "Supprimer") >> C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32 << ================== Ceci n'ayant pas été fait en début de discussion (l'infection bloquait...), on va faire un petit tour du propriétaire, afin de constater de l'était actuel des choses : Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) Il y aura certainement un tout petit ménage à faire ; rien de compliqué @+ Mark

Salut, toi au bas Ça va toujours ? Si oui, on fait du ménage ================== Tu peux supprimer les fichiers/dossiers suivants : - CCSKeys.exe (et son répertoire, si présent) - Le dossier (la copie de sauvegarde) de HIV-Backup que je t'ai fait mettre sur le Bureau - L'outil querySvc.exe - Les répertoires (dossiers) suivants sont à virer (des restes de ComboFix) : C:\Bibi C:\Bibiz C:\Weezyy - Maintenant, pour désinstaller ComboFix proprement (outil à ne pas garder) : clique sur le bouton "Démarrer" >> "Exécuter" puis copie/colle la ligne suivante dans la boîte, puis clique "OK" : ComboFix /u (la désinstallation est assez rapide ; il y aura confirmation) Je constate que McAfee semble toujours présent sur ta machine. Il ne faut jamais avoir deux antivirus actifs, car ça peut provoquer des conflits voire des plantages, et ça abaisse l'efficacité des détections de façon globale. Choisis l'un puis désinstalle l'autre (je te conseille vivement de conserver AntiVir, mais le choix t'appartient ). Dis-moi si tout s'est bien déroulé. Si j'ai oublié un détail ou deux (je vais tout relire), je te ferai signe. @bientôt pour la conclusion Mark

Bonjour Oké, cela semble nous dire que le Service n'existe plus. Je vais donc te demander de ré-essayer ComboFix, tel que prescrit dans mon post précédent ; exactement de cette manière. Petit détail : supprime ComboFix qui est sur ton Bureau et remets une copie fraîche, du lien suivant : http://download.bleepingcomputer.com/sUBs/ComboFix.exe >> N'oublie pas de désactiver Zone Alarm complètement, ainsi que l'antivirus avant de procéder. Et une question : as-tu le CD de Windows XP en ta possession ? J'attends donc le rapport de ComboFix (si produit) et la réponse pour le CD de XP. Good luck Mark