Mark

Bonjour sylamb ; je te souhaite la bienvenue sur nos forums Je ne sais pas si tu as fouillé un peu avant de venir ici, mais les nouvelles ne sont pas bonnes... w32.virut est destructeur et sans pitié : il infecte tous les fichiers exécutables (.exe, .scr, les programmes bien sûrs et tout exécutable dissimulé dans une archive .zip, .rar, etc...) ainsi que les fichiers .htm, .html et .php. Un seul fichier infecté relance tout le bazard. Nous avons également vu un cas où des fichiers .doc, .jpg et .pdf étaient infectés (un cas, isolé). De plus, l'infection qui installe Virut installe également des portes dérobées, qui donne le contrôle de ta machine au pirate. Très virulente, l'infection attaque aussi le système d'une façon qui rend le nettoyage complet pratiquement impossible. Il faut formater, avec prudence. Je te donne un lien de discussion, qui explique en détails la façon de faire pour t'en sortir : http://forum.zebulon.fr/au-secours-virus-i...le-t167313.html >> La présentation, les symptômes peuvent varier d'une machine à l'autre, selon les infections parallèles qui s'installent, mais Virut c'est Virut... Tu as XP ou Vista ? L'un ou l'autre, sans Service Pack, c'est suicidaire vu les failles de sécurité qui ne font qu'ouvrir toutes grandes les portes aux bestioles... Bref, il faut impérativement gardé Windows à jour : c'est aussi important que d'avoir un antivirus. À voir dès que tu auras formaté et réinstaller Windows. Si tu as des questions, demande ici et je vais te guider au mieux de mes connaissances Bon succès pour la suite.. @+

Salut à vous deux Fish-Xvi : je te vois, au bas, attendre patiemment... Il est possible que Thanos ne revienne que dans plusieurs heures, alors je me permets de poster ceci, juste pour faire avancer le schmil... L'infection se regénère car un fichier du système est patché (injecté). ComboFix sait le remplacer, mais il doit y avoir une copie saine sur la machine, ce qui ne semble pas être le cas sur ton PC en ce moment. De plus, la Console de Récupération doit être installée pour favoriser cette réparation de fichier. Cela dit, je te pointe vers la méthode manuelle d'installation de la dite Console, qui se trouve dans le guide d'utilisation de ComboFix >> http://www.bleepingcomputer.com/combofix/f...manual_recovery Il existe deux méthodes efficaces : 1) Si tu as le CD de Windows XP : http://www.zebulon.fr/dossiers/61-2-instal...ion-disque.html 2) Si tu n'as pas le CD, regarde le guide (voir lien plus haut) et suis les directives du paragraphe intitulé : "Si vous utilisez Windows XP et si vous n'avez pas le CD Windows" Si l'installation de la Console se réalise avec succès, tu pourras relancer ComboFix pour ensuite poster le rapport ici. Si le fichier patché ne peut être remplacé, on aura une autre méthode à te proposer... Bonne continuation à vous deux

Salut Virut n'attaque pas les cartes réseau directement, mais une infection parallèle le fait de façon brutale ; on le voit souvent avec les cas de Virut. Juste pour ton info, regarde dans le Gestionnaire de périphériques et tu y verras des périphériques réseau hostiles. Débiles, ces infections... ============= Pour ce qui est du fichier analysé, je vais te demander un autre truc : Via l'Explorateur, repère le dossier suivant : C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32 << le dossier >> fais un clic droit dessus et choisis "Envoyer vers" >> "Dossier compressé" - Un nouveau fichier .zip sera créé dans le même répertoire ("Application Data"), nommé perfdm32.zip - Va sur le site de Senduit : http://www.senduit.com/ >> Clique le bouton "Parcourir..." et double-clique sur le fichier suivant : C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32.zip - Modifie l'option "Expire in:" à "1 week" et ensuite clique le bouton "Upload" - Un lien apparaîtra dans la fenêtre lorsque l'upload sera terminé : envoie-moi ce lien via messagerie perso (voir mon profil), s'il te plaît. Merci et @+

Bonsoir kaoula ; Rien de louche dans la Corbeille, alors on essaie autre chose ; ======================= Télécharge TFC (nettoyeur de fichiers temporaires par Old Timer) du lien suivant et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/TFC.exe - Ferme tous les programmes ouverts et sauvegarde le travail en cours d'exécution (si pertinent) car l'outil fera redémarrer la machine ; - Lance TFC.exe par double-clic et clique le bouton "Start" ; - Laisse le programme tourner sans interruption ; son temps d'exécution est variable, selon la quantité de fichiers présents. - Normalement, l'outil fait redémarrer la machine à la toute fin ; s'il ne le fait pas, redémarre-là via le bouton "Démarrer", comme d'habitude. - Il n'y pas de rapport généré. ~~~~~~~~~~~~~~~~~~~~~~~~ Maintenant, clique sur le bouton "Démarrer" >> "Exécuter..." et tape cmd dans la fenêtre puis clique "OK" ; - Dans la fenêtre d'invite de commande, copie/colle (ou tape très exactement) la ligne suivante : sc delete PEVSystemStart ...et valide avec la touche "Entrée" - Un message de confirmation apparaîtra à l'écran. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Maintenant, on retente ComboFix avec la même méthode qu'au post #38, mais je remets les instructions ici : Note importante : il est primordial de désactiver complètement Zone Alarm, qui pourrait être le coupable si pas désactivé. Désactive l'antivirus aussi - très important ; **Le script prescrit ci-bas a été préparé pour la machine de kaoula seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): RegLock:: [HKEY_USERS\S-1-5-21-1214440339-2052111302-682003330-500\Software\Microsoft\Internet Explorer\User Preferences] Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ~~~~~~~~~~~~~~~~~~~~~~ Alors je croise les doigts. Dis-moi comment ça c'est déroulé, et poste le rapport de ComboFix s'il a tourné, bien sûr. @+ Mark

Bonjour ! Pour ce qui est de Total Security sur ta machine, ça semble Oké, mais j'ai une dernière question, concernant le fichier que je t'ai fait analyser : perfdm32.bak (alors qu'il devait être perfdm32.dll) C'est toi qui l'a renommé ? Ou bien existe-t-il plusieurs fichiers dans ce répertoire ? PrevX est le seul à voir quelque chose avec celui-là et on ne peut pas toujours se fier à PrevX, mais... juste avec la tronche qu'il a, sa date de création, etc... je suis persuadé que ça provient de l'infection. Je te laisse donc regarder ça, pour le nom du fichier et, si tu as l'autre (perfdm32.dll), pourrais-tu le faire analyser sur Virus Total s'il te plaît ? Merci ============= Pour ce qui est du portable de ton fils : Virut est sans pitié et extrêmement aggressif, infectant tous les fichiers exécutables qui se trouvent sur la machine, y compris ceux du système. Sa charge destructrice est telle qu'il est impossible de tout nettoyer correctement. Bref, tu as fait les sauvegardes (bien), donc il ne reste qu'à le formater. Il y a des précautions à prendre par contre ; je te laisse lire une discussion récente ici sur Zeb, où un visiteur avait Virut. Tu y trouveras les informations pertinentes : http://forum.zebulon.fr/au-secours-virus-i...le-t167313.html >> Il pourrait y avoir des fichiers infectés dans les sauvegardes, alors une grande prudence est de mise. Je préfère des sujets distincts lorsqu'un membre nous soumet deux machines infectées, mais là je préfère que l'on reste ici, vu qu'il n'y aura pas de désinfection sur le portable de toute façon. Si questions ou problèmes, pas de gêne, je vais faire de mon mieux pour te guider. J'attends donc les nouvelles pour ce fichier perfdm32.dll @+ Mark

La bête est morte Quelques petites choses à vérifier : 1) Je vois Panda et McAfee qui sont actifs sur ta machine ; tu ne dois avoir qu'un seul antivirus actif, sinon il y aura compétition entre les deux = risques de plantages et abaissement du niveau de protection globale sur le PC. Malgré une certaine croyance, deux antivirus actifs c'est très mauvais... Choisis-en un seul, puis désinstalle l'autre. ~~~~~~~~~~~~~~~~~~~~~ 2) Je vais te faire analyser un fichier louche (sur ta machine), en ligne : - Il faut tout d'abord démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier suivant : C:\Documents and Settings\Maison\Local Settings\Application Data\perfdm32\perfdm32.dll - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. === === J'attends donc le rapport de Virus Total et on pourra terminer le nettoyage/ménage suite à cela. @+

Attends le retour de Le sioux ; lui et moi avons une petite idée (pas le formatage ) Courage, et bonne continuation à vous deux. Mark

Tu as "fixé" ces trucs ? Sinon, il faut le faire (relance une analyse et corrige tout ça). Ça va mieux on dirait Bon je manque de temps et j'aimerais revoir un ou deux trucs avec pear ; je ferai ça dès que possible. Dis-nous comment se comporte la machine maintenant ? Merci pour les efforts et... courage @bientôt Mark

Resalut Pour l'instant, essaie de passer Malwarebytes' Anti-Malware ; il devrait passer. Le répertoire c:\documents and settings\All Users\Application Data\12665314 ...est installé par l'infection et il est complètement bloqué/locké (nom aléatoire - 8 chiffres). Il faut du muscle, ou une petite astuce : faire un glisser-déposer du dossier vers le Bureau, ce qui débloque les outils. Oui ComboFix est un outil de nettoyage, très puissant d'ailleurs, à manipuler sous supervision d'un bénévole de forum formé seulement. En attente du rapport de MBAM @+

Merci Le responsable des blocages, c'était celui-ci : c:\documents and settings\All Users\Application Data\12665314\12665314.exe ComboFix lui a fait la peau, de toute évidence. Je dois revoir deux ou trois trucs avec pear mais, dans l'attente, pourrais-tu retenter Malwarebytes' Anti-Malware ? Si ça tourne, poste son rapport ici et on poursuivra. @toute Mark

Rebonjour (soir) Je passe en vitesse ; Bien joué Fran. Pourrais-tu s'il te plaît poster le contenu du rapport situé ici : C:\Qoobox\ComboFix2.txt Merci

Y a vraiment pas de quoi Je te laisse surveiller pour, disons, 24 heures environ. Si tout va bien, je te proposerai un petit ménage (rien de complexe). À demain. Mark

Salut euterpe ; Bonne nouvelle pour ce qui est de MBAM Maintenant, pour les pares-feu. J'en connais trois qui sont excellents. Petit problème : je n'ai pas vraiment de tutos à te proposer... alors je te laisse vérifier/chercher un brin. Ces trois pares-feu sont de "nouvelle génération", c'est-à-dire qu'ils incorporent non seulement la surveillance du trafic Internet, mais aussi des processus lancés et encore plus, notamment la technologie HIPS (prévention d'intrusion de l'hôte). Seul hic, c'est que les versions gratuites ne proposent pas toutes les fonctionnalités des versions payantes, mais cela peut suffire pour la majorité des utilisateurs. Voici donc les candidats : Online-Armor : http://fra.tallemu.com/product_overview.html Sunbelt Personal Firewall - ex Kerio (s'installe en Français - version complète pendant 30 jours) : http://www.01net.com/telecharger/windows/I...ches/22418.html Agnitum Outpost Firewall : http://telechargement.zebulon.fr/outpost.html Je ne saurais t'en proposer un plus qu'un autre, mais les critiques sont très bonnes pour les trois. Évite Zone Alarm en version gratuite (dénudé...) et aussi Comodo (toolbars indésirables). Voilà.. Je repasserai si tu as des questions, mais je vais aussi te faire faire un ménage, dès que j'ai 10 minutes devant moi. @bientôt Mark

Très bien, le fichier est clean Maintenant : comment se comporte la machine ? Y a-t-il des alertes ou bien re-création des fichiers/dossiers mentionnés plus haut ? Tu peux peut-être attendre quelques heures, juste pour surveiller. @bientôt pour la suite

Salut Fran Je surveille ça avec pear. ComboFix peut se bloquer, ça dépend des infections et de l'état de la machine. Par contre, patiente au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), tu peux le fermer en cliquant le "X" au haut à droite de la fenêtre. @+

Très bien On ne voit plus de traces d'infection, mais j'ai encore un petit doute, surtout après avoir consulté une autre discussion semblable à celle-ci. Je te fais analyser un fichier, en ligne ; c'est tout simple : =============== - Il faut tout d'abord démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier suivant : C:\WINDOWS\System32\drivers\agp440.sys - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. === === Surveille également pour la création du fichier Braviax.exe (dans C:\WINDOWS) ainsi que du répertoire C:\PC_Antispyware2010 (au cas où...) @+

Bonjour Je dois maintenant regarder un truc, pour nous aider à cerner le problème. Petite manip toute simple : Copie/colle le contenu de la boîte "Code" ci-bas dans un nouveau fichier du Bloc-notes (sans le mot "Code") : @echo off DIR /A/S/B %systemdrive%\$RECYCLE.bin %systemdrive%\RECYCLER %systemdrive%\RECYCLED >logit.txt 2>nul Start Logit.txt Del %0 - Du menu "Fichier" >> "Enregistrer sous..." ; nomme le fichier Look.bat - Dans le champ "Type:" (juste au-dessous du nom), modifie à "Tous les fichiers" - Choisis le Bureau comme destination (au haut de la fenêtre), puis clique sur "Enregistrer" >> Tu devrais maintenant avoir un fichier avec un petit engrenage sur l'icône. - Lance le fichier Look.bat par double-clic - Un rapport apparaîtra à l'écran : copie/colle son contenu ici, s'il te plaît. @+

Bien joué On a pas terminé, car y a un rootkit toujours actif que j'avais loupé dans le rapport précédent. On va enlever ça et soumettre trois fichiers pour analyse (si ça passe) : ==================== **Le script prescrit ci-bas a été préparé pour la machine de WeezyCarnival seulement et ne dois pas être exécuté sur une autre machine** Désactive ton antivirus temporairement, juste pour le temps du scan. Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): http://forum.zebulon.fr/pc-anti-spyware-2010-braviaxexe-fake-alert-disant-your-co-t167252.html Collect:: c:\windows\system32\drivers\zndo.sys c:\windows\system32\drivers\fkancryv.sys c:\windows\bagolaxiwo.com Driver:: fzpwas lhoinwx Folder:: C:\PC_Antispyware2010 DirLook:: C:\Weezyy C:\Bibiz C:\Bibi *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Un message apparaîtra t'indiquant que des fichiers seront uploadés : ceci est normal. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+

C'est très bien ce rapport ; quasiment juste des trucs en quarantaine, sauf un qui m'énerve (lol ) : C:\WINDOWS\braviax.exe AntiVir l'a viré, mais j'aime pas le revoir après toutes ces manips. je te fais donc repasser ComboFix pour, je l'espère, la dernière fois. Tu le passeras d'une façon un peu différente cette fois-ci : Supprime le ComboFix.exe (renommé) qui se trouve sur ton Bureau, si toujours présent. Télécharge une copie fraîche d'un des deux liens suivants et sauvegarde-le sur ton Bureau (pas nécessaire de renommer) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe Ensuite... **Le script prescrit ci-bas a été préparé pour la machine de WeezyCarnival seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): RegLock:: [HKEY_USERS\S-1-5-21-3864495449-1185670763-2712676228-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] Folder:: C:\Kill'em DirLook:: C:\1d2e24e2b0493b6657445a4189f8 C:\9f505c1f6c3d137f4a4e7f520838f3d0 *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+

Voilà de bonnes nouvelles ! Avec Virut, on le sait rapidement quand il reste des traces : il est virulent et un seul fichier suffit pour tout relancer. Les quelques minutes et heures qui suivent la réinstallation de Windows sont très révélatrices, vu les réinfections fulgurantes possibles, si on ne prend pas toutes les précautions... Avec AntiVir en place et actif, tu peux analyser les lecteurs amovibles, si pertinent. Prudence de ne pas lancer ou copier les fichiers sur ton DD avant de les analyser par contre. Je n'ai que quelques minutes alors je te laisse un petit conseil et te propose une autre analyse, puis on pourra terminer : SpyBot et Spyware Blaster ne sont plus ce qu'ils étaient, mais tu peux les installer. Oublions Ad-Aware. Par contre, je te suggère d'installer Malwarebytes' Anti-Malware et de lancer une analyse rapide (la "rapide" est toujours suffisante - confirmé par son créateur) ; ce logiciel, en version gratuite, n'offre cependant pas les boucliers ni les MAJ auto, ce que fait la version payante par contre. Mais même en version gratuite, tu peux scanner ta machine périodiquement et faire les MAJ manuelles ; c'est tout simple. Ce logiciel est le plus puissant des anti-malwares en ce moment et il est fort avec les nouvelles bestioles. Pas parfait on s'entend (il ne peut tout voir), mais fort. http://www.libellules.ch/dotclear/index.ph...ti-malware-mbam Il te faudrait peut-être un bon pare-feu aussi. On en reparle... @+

Bonjour (soir) kaoula Merci d'avoir essayé. Il faudra analyser quelques fichiers présents sur ta machine, alors voici comment on va procéder : - Via l'Explorateur, repère le dossier suivant : C:\ComboFix << - Fais un clic droit dessus et choisis "Envoyer vers" > "Dossier compressé" - Ceci créera un fichier .zip nommé ComboFix.zip sur le lecteur C: directement. - Va maintenant sur le site suivant : http://www.senduit.com/ > Clique sur le bouton "Parcourir..." et retrouve le fichier C:\ComboFix.zip puis double-clique dessus > Avant de cliquer sur le bouton "Upload", modifie la durée sous le champ "Expire in:" à 1 week (1 semaine). > Clique maintenant sur "Upload" et patiente, jusqu'à confirmation ; le fichier sera volumineux alors ça risque de prendre plusieurs minutes. Un lien te sera proposer (c'est le lien pour télécharger le fichier). > Ne colle pas le lien ici, sur le forum, mais refile-le moi via ma messagerie perso (voir dans mon profil, ici à gauche). Il faudra peut-être un peu de temps pour regarder ça, mais je te tiendrai au courant. Merci et @+

Re-salut Oui c'est fiable car le hash des fichiers (MD5) est Oké ; pas nécessaire de consulter le détail des détections. le système semble donc propre pour ce qui est de Virut. AntiVir pourra nous confirmer. Suite au rapport d'AntiVir, on verra. Si c'est propre, il faudra mettre Windows à jour (SP2 + toutes MAJ critiques minimum pour l'instant). À suivre..

Oké ça va pour les deux fichiers (explorer et svchost) donc j'attends pour le troisième. Pour AntiVir : bizarre. Je te fais faire les mises à jour en manuel et ensuite tu pourras faire un scan complet. Un tuto ici : http://www.libellules.ch/dotclear/index.ph...re-les-serveurs Poste le rapport ici et on verra pour la suite. C'est long, je sais... @+

Y a pas de quoi, Euterpe, et le décalage horaire aide Étant donné que tu as amorcé des procédures, je peux te guider pour quelques vérifications supplémentaires, même si je crois qu'un formatage en règle serait souhaitable pour la machine. On vérifie quelques trucs et ensuite je te donne un nouveau verdict Le dernier rapport n'est pas mieux que le premier, mais si tu n'as réparé aucune clé/valeur de registre, ça pourrait expliquer, en partie. Ce message pour C:\WINDOWS\fonts\services.exe est lié à la suppression d'un fichier infecté que Windows cherche à lancer ; il ne le trouve pas (bien) alors il lance l'erreur. Pas grave pour celui-là (pour l'instant). Tout d'abord, on va vérifier si Virut est toujours là : ===================== - Il faut tout d'abord démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier suivant : C:\WINDOWS\explorer.exe - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. >> Refais la même chose pour les deux fichiers suivants : C:\WINDOWS\System32\userinit.exe C:\WINDOWS\system32\svchost.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Là il faut que tu fasses tes sauvegardes de fichiers perso avant de lancer tout outil de nettoyage, car avec de telles infections, la machine peut cesser de fonctionner si les exécutables système sont touchés. @bientôt Mark

Bonjour WeezyCarnival ; Merci pour le rapport (querySvc), qui semble montrer une nette amélioration de la situation ; il y a eu un problème au niveau de plusieurs Services de Windows, mais ça semble avoir été temporaire. Le passage de l'outil CCSKeys ne sera pas nécessaire, à tout le moins pas pour l'instant. Fait étrange : je l'ai lancé ici sur ma machine d'essais et le répertoire a bien été créé sur le Bureau. Tu avais peut-être sauvegardé le fichier .exe ailleurs que sur ton Bureau, donc le dossier se trouverais à cet endroit (il est créé au même endroit d'où le .exe est lancé). Pas grave.. Bon. Dans un de tes messages précédents, tu mentionnais que l'antivirus bippait toujours suite au scan et pear t'as fait vider sa quarantaine ; ça bippe encore ? Pour avoir une meilleure idée, passe un autre scan complet (oui c'est long, je sais...) et poste le rapport ici. Dis-nous également comment se comporte la machine, s'il te plaît. Juste pour info : les infections présentes étaient nombreuses et très sévères, avec fichiers système patchés/injectés et rootkits. C'est du solide, capable de causer des dégâts internes. Je te suggère de revoir pour l'utilisation du P2P (Lime Wire, Azeurus, etc...). J'attends donc le rapport d'AntiVir tout frais ainsi que tes commentaires sur l'état de la machine. @+