Mark

Salut Spn ; Ben voilà de bonnes nouvelles ! Désolé pour le disque par contre, mais ça arrive. Ne t'en fais surtout pas pour le doute d'infection ; il y avait des signes et il fallait éliminer l'hypothèse. Pour ma part, rien de tel qu'un petit défi de la sorte pour aiguiser les réflexes En espérant que tu puisses récupérer tes données sans trop de mal. Tu peux éditer le titre. Repasse nous voir sur les forums si problèmes ou questions. À bientôt

Salut Spn Bien joué pour l'analyse de CureIt. Je suis soulagé, car l'infection que je soupçonnais n'est vraiment pas gentille, mais elle n'y est pas. Je relis ton premier post et pense que tu devrais faire un "check disk" à nouveau, sur la machine #1 : Poste de travail > clic droit sur le lecteur C: et choisis "Propriétés" > onglet "Outils" > clique "Vérifier maintenant..." > coche les deux options offertes puis clique "Démarrer". Dis-nous ensuite ce que cela a donné. Si un problème semble persister avec le disque (ou le système), je verrai à te rediriger vers une ressource adéquate. ====== Pour la machine #2 : je suis embêté. Peux-tu vérifier la séquence de boot via le BIOS ? Nous voyons souvent le lecteur de disquettes en premier, suivi du DD et ensuite du lecteur optique. Selon la marque du BIOS, les menus sont différents mais peut-être as-tu un brin d'expérience avec le tien ? Si tu ne te sens pas à l'aise, dis-le moi et on ajustera le tir. Je me demande simplement si ton BIOS regarde/cherche le bon DD, donc pas celui que tu avais branché en externe / Master. Voilà, ce sera tout pour l'instant. @+

Salut Pour ce qui est de HijackThis ; tu veux dire celle-ci ? >> O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) Si oui, il s'agit d'une clé orpheline dans le registre, donc le fichier n'existe plus. Celle-là appartient à Windows Live Messenger, donc pas de soucis. Normallement on les "fixe" car inutiles. ============ Oké pour le réglage "Master". Là ça dépasse mes connaissances, donc je ne sais pas si le second PC réagit à ça, ou non. As-tu regardé dans le BIOS du second PC pour ce qui est de la séquence de boot pour les lecteurs ? Y-a-t-il un message précis avec l'écran bleu et si oui, quel est-il ? ============ Pour la première machine : je vais te faire essayer un outil antivirus léger et performant, juste pour voir... Télécharge Dr.Web CureIt sur ton Bureau: http://www.freedrweb.com/cureit/ Clique sur "Télécharger CureIt!", au haut à droite ; Le fichier .exe téléchargé aura un nom aléatoire : 8 caractères (chiffres et lettres) Double clique sur le fichier téléchargé et ensuite clique sur Commencer le scan; Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X" L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas) Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera. S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression). ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action. *** Si tu soupçonnes qu'une détection semble être fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté. En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus. Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport"; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé). Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?"; clique "Oui". Espérons qu'il tourne... @+

Bonjour Spn Tu m'as sûrement vu au bas, connecté, mais j'avais simplement oublié de me déconnecter durant mon absence. De retour là. Oké, merci pour tous ces détails. Ouff, j'avoue être perplexe à présent. Si les analyses d'AntiVir et Kaspersky ont été faites sur le 1er PC = négatives, on pourrait penser à un disque en fin de vie, possiblement, mais... pourquoi le second PC a-t-il réagit aussi violemment au retrait du DD (du 1er) ?? Là tu es sur la première machine ? Si oui, elle tourne comment ? Tu as des données importantes du boulot sur le disque D: et je crois comprendre qu'il y en a aussi sur le disque principal (C: + E:) puisque c'est de celui-là que tu voulais récupérer des trucs via le second PC ? Et là je vais me mouiller côté hardware un brin : lorsque tu as branché le disque principal du 1er sur l'autre PC, était-il configuré en "Slave" ou en "Master" ? Possible que je te redirige vers un forum Système ou Hardware, selon tes réponses et l'état de la première machine. On verra... @+

Bonjour à toi Spn ; j'en profite pour te souhaiter la bienvenue sur le forum Désolé pour le délai de réponse... Bon, tout d'abord, je veux être bien sûr d'avoir tout saisi, surtout ce qui concerne les disques durs et/ou partitions : 1) Sur le PC infecté, il y a deux disques durs (C: et D:) ou bien un seul disque avec deux partitions ? 2) Lorsque tu dis qu'AntiVir et Kaspersky en ligne n'ont rien trouvé : si je comprends bien, le disque dur du PC infecté était branché en externe sur une autre machine (à toi), et les scans ont été faits via cette (autre) machine ? 3) Le message pour userinit.exe endommagé est survenu après un reboot de la seconde machine (je crois) : la machine est-elle utilisable en ce moment ? Si oui, as-tu refais un scan AntiVir dessus ? Pour ce qui est des dossiers "i386" et "AMD64" ; je ne suis pas très calé côté système, mais je crois que ces deux-là sont créés suite à tes mises à jour pour Windows, soit par le SP3 ou bien par une MAJ de .Net Framework 3.5 SP1. S'il s'agit bien de cela, ce sont des dossiers protégés par Windows avec permissions spéciales, donc difficiles à virer. On laisse en place, tout simplement. ======= Maintenant... je soupçonne une infection qui pourrait être à l'origine de tes soucis. En revanche, l'analyse négative d'AntiVir me laisse croire que non, mais... il faudrait confirmer avec une nouvelle analyse, si possible. Si l'infection (possible) est présente, tous les fichiers exécutables pourraient être injectés, y compris ceux qui se trouvent sur le D: et maintenant sur le second PC (possiblement...). Ceci expliquerait l'échec du formatage initial, car avec les infecteurs de fichiers exécutables, il faut formater "tout", c'est-à-dire tous les disques/partitions/lecteurs amovibles qui ont été en contact avec le lecteur système touché, sinon ça se réinstalle et se propage rapidement. Ça expliquerait le message du fichier userinit.exe endommagé aussi (injecté). Denière question : as-tu téléchargé ou installé un truc qui aurait pu infecter ta machine, juste avant l'apparition des symptômes ? Tu ne mentionnes rien de la sorte dans ton message initial, mais je préfère vérifier. @ bientôt,

Héhéhé.. Si nous nous étions croisés il y a un an ou plus, je t'aurais répondu "les deux". Norton a été Roi pendant plusieurs années, mais depuis 2002 - 2003... ça aura été pénible pour eux et pour leurs clients. Je n'ai pas tous les détails bien sûr, mais disons que leurs produits se sont améliorés depuis 2008 (approximativement) et là ils rivalisent à nouveau pour une place de choix, parmis les "bons antivirus". Tu sais, on voit encore souvent des "Désinstalle Norton et mets-en un autre plus performant / moins gourmand sur ta machine" sur plusieurs forums ; Daniel s'attendait peut-être à ce que je fasse la même chose ici. Mais non. Je reconnais les améliorations faites par Symantec et je constate les performances par divers moyens. Les faux positifs sont inévitables dans ce domaine, vu la sensibilité des moteurs de détections, les nouvelles technologies employées et la complexité des bestioles qui circulent. Ce que j'attends de Symantec ou de tout éditeur d'antivirus, c'est tout simplement un brin de franchise et de bonne foi... Le faux positif n'est pas un échec du produit, mais il faut savoir le reconnaître, savoir modifier la détection et surtout ne pas craindre de le communiquer aux utilisateurs. Dire à un client : "Désolé pour ton logiciel, mais tu devras virer un fichier et risquer de tuer le programme parce que notre logiciel juge qu'il est néfaste". Blah ! Moi je dis : "Donne-nous la preuve qu'il est malicieux ce fichier avant de semer la panique". Il faut savoir que certains logiciels légitimes utilisent des modules ou des techniques qui sont souvent utilisés par les codeurs de bestioles, ou qui y ressemblent, d'où la prolifération de faux positifs chez les antivirus. La plupart des "bons" reviseront leurs détections dès que des échantillons sont fournis pour analyse suite à de fausses détections. Certains sont têtus et maintiennent les détections, pour toutes sortes de raisons parfois nébuleuses... J'ose espérer que "Daniel", même s'il est employé d'un service externe de Symantec, a les contacts nécessaires auprès des services techniques pour assurer un suivi acceptable auprès des clients, surtout lorsqu'il décide de se mouiller avec un diagnostic de la sorte. On verra bien

Coucou Je ne passe qu'en coup de vent... Prépare un peu de popcorn et passe par CCM Je reviendrai ici avec quelques commentaires, suite à la réponse de "Daniel" (que je salue au passage). http://www.commentcamarche.net/forum/affic...orton-36960-msi @+

Cool Te voilà mieux protégé et, j'ose dire, prêt à affronter la toile. Je te sens prudent et j'approuve, car la meilleure protection se situe toujours derrière le clavier Bon surf !

Bonjour à toi ; j'en profite également pour te souhaiter la bienvenue sur le forum - La machine m'a l'air propre. HijackThis ne voit pas tout, mais l'absence de symptômes dans ton post appuie cet humble diagnostic. - Config qui me semble assez légère. Bon. - Nod32 : très bon en effet. - Pas de SP2 ? Ah oui, tu es quelque peu parano. Moi je dis fonce ; un OS à jour est une excellente protection passive @+

Bonjour ! Je te félicite d'avoir réussi l'analyse, malgré la connexion et... les doigts Ça me confirme le faux positif de Norton et on constate que Trend Micro détecte le "packer" aussi. Donc si tu avais fait un scan en ligne avec Secuser, par exemple, tu aurais eu droit à une détection sur le fichier (Secuser utilise le moteur antivirus de Trend Micro...). Il s'agit tout simplement d'une détection (fausse) heuristique sur l'enrobage du fichier de Ciel Compta ; on voit ça souvent avec d'autres programmes ou outils légitimes. Affaire classée Je voulais te faire faire une analyse de la machine (#1) en ligne avec Kaspersky, mais vu ta connexion, cela aurait été une expérience horrible pour toi, avec téléchargement obligatoire de + de 40 Mégas. L'analyse ne sera plus nécessaire grâce aux essais sur le portable... =========== Je vais maintenant te faire désinstaller ComboFix (machine #1) proprement : - Clique sur le bouton "Démarrer" et ensuite sur "Exécuter..." - Copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u L'opération durera quelques secondes tout au plus et tu auras un message de confirmation. C'est tout. Vu les faibles risques d'infection sur tes machines, je ne te proposerai pas 56 programmes de protection, mais je te laisse les consignes de bases : - Maintiens les machines à jour (Windows Update) religieusement. - Même chose pour l'antivirus. - Passe une analyse rapide périodique avec MBAM sur la ou les machines qui surfent (fais la MAJ au préalable via l'onglet "Mise à jour"). Questions ? Pas de gêne surtout. @ bientôt, Edit : j'oubliais... Je suis au Québec (en permanence) alors pas de soucis pour les weekends

Les oiseaux ? Hahaha... il faut bien les nourire alors Gaffe aux orages, effectivement. On devrait en avoir ici aussi, aujourd'hui. @ demain

Bonjour maiteline, WawaSeb et un petit bonjour également à Norton-Forum-assist que j'aperçois au bas Oui je suis bien 6 heures derrière Paris et peu de dispo durant mes journées, alors nous sommes vraiment "décalés". Merci pour le test avec le portable. Ça semble confirmer une détection nouvelle, probablement heuristique, de Norton sur une fichier .msi de Ciel Compta. Le nom n'est pas le même mais ça ne me surprend pas (fichiers nommés aléatoirement. Si le fichier est toujours présent, tu voudrais bien le passer chez Virus Total ? Ça confirmerait. Nous pourrions même en fournir une copie à Symantec pour leur permettre de régler le léger problème. Alors voici les instructions à nouveau : Avec les fichiers cachés/système visibles, rends-toi au lien suivant : http://www.virustotal.com/fr/ - Clique sur "Parcourir..." - Repère le fichier suivant : C:\WINDOWS\Installer\bfc43B.msi - Double-clique dessus afin de le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Si leur serveur est très sollicité, il se peut qu'on te place en file d'attente ; il faut patienter.. - Si, en début d'analyse, on te signale que le fichier a déjà été analysé : choisis une "Nouvelle analyse". - L'analyse ne prend qu'une ou deux minutes et un rapport complet s'affichera ; - Colle simplement le lien de la page de Virus Total ici, dans ta prochaine réponse (place-le en Favoris pour éviter de le perdre). Tu pourrais également mettre une copie de ce fichier dans une archive (zippé) avant de faire la MAJ pour Ciel, juste pour l'avoir au chaud si analyse subséquente nécessaire. À bientôt

Bon lundi maiteline Désolé de ne pas t'avoir répondu au sujet de MBAM (oubli de ma part) : oui, laisse-le virer MyWebSearch et réparer ces deux options pour le Centre de Sécu. MyWebSearch n'est pas une grosse bête ; un irritant qui bouffe des ressources, principalement. Pour Ciel et Norton : bien joué. J'avais lu un topo (de 2005 je crois) où les gens avaient eu des problèmes : en désinstallant Norton, Ciel ne fonctionnait plus (??). Il aura fallu réinstaller Norton, ce qui est plus que bizarre. Suite à tes expériences, moi je dirais que Norton est coupable d'une fausse détection. Question (j'ai peut-être la réponse sous les yeux...) : as-tu Norton sur toutes les machines ? Si tu crois pouvoir tester avec le portable, pour Ciel : pourquoi pas Peux-tu tester rapidement avec le portable ? Si oui, j'attendrai avant de te prescrire un scan en ligne sur le micro #1. Quant à ce dernier, il tourne bien ? Pourrais-tu refaire une analyse rapide avec MBAM dessus, juste pour contrôle suite à la restauration ? À suivre !

Bonjour maiteline Merci pour toutes les infos qui, de mon point de vue, sont très pertinentes voire intéressantes (ça vient avec le boulot ). Avant de poursuivre, j'aimerais faire une petite mise en garde: tu as ouvert un topo sur CCM, pour ce même problème (en "Logiciels-Pilotes"). Tu as potentiellement une infection hyper sophistiquée et peu banale... et nous avons déjà un bout de chemin de fait ensemble. Si tu cherches d'autres points de vue ailleurs, hors forum de désinfection, ça peut aller (pour sonder les gens) mais ça risque aussi de faire déraper tout le processus enclenché ici, selon la réponse que tu obtiens là-bas. Prudence... surtout si on te dit "vire ça" ou "ne touche pas", sans informations appuyées. Il faut surtout m'aviser de toute réponse obtenue là-bas, s'il te plaît. Ça ne pourra que nous faire économiser du temps à tous les deux ; ça pourrait éviter de la casse aussi ============ À nos moutons ? Dans le désordre : - Ta clé USB : Oké, garde-là au frais pour l'instant. On peut la "sauver", probablement, mais n'y touchons pas pour l'instant. - Les deux autres machines : ça m'a l'air bon d'après ce que tu me dis. - MBAM qui a mis 4 heures sur la machine #1 : pas normal, effectivement. Était-ce une analyse rapide ou complète ? As-tu noté un endroit (un moment) lors de l'analyse où ça semblait coincer ? Ou était-ce une lenteur générale durant toute l'analyse ? Norton intervenait-il durant l'analyse (détections) ? 30 minutes pour les autres machines, c'est plus "normal". - 36960.msi toujours détecté par Norton : ça, c'est le coeur de l'énigme (j'aime bien ce type d'énigme...). Si le fichier est bien de "Ciel", alors il y a deux possibilités : 1) Le fichier a été patché par l'infection, ou... 2) Il s'agirait d'une fausse détection de Norton. Il faut enquêter.. ========== Il ne semble pas y avoir d'infection active en ce moment, mais j'en ai vu des sournoises, alors je ne déclare rien d'absolu à ce stade-ci. Je vais tout d'abord te faire analyser le fameux fichier en ligne, par plusieurs antivirus (simultanément) : Il faut tout d'abord démasquer les fichiers cachés/système, en faisant ceci : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Rends-toi maintenant au lien suivant : http://www.virustotal.com/fr/ - Clique sur "Parcourir..." - Repère le fichier suivant : C:\WINDOWS\Installer\36960.msi - Double-clique dessus afin de le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Si leur serveur est très sollicité, il se peut qu'on te place en file d'attente ; il faut patienter.. - Si, en début d'analyse, on te signale que le fichier a déjà été analysé : choisis une "Nouvelle analyse". - L'analyse ne prend qu'une ou deux minutes et un rapport complet s'affichera ; - Colle simplement le lien de la page de Virus Total ici, dans ta prochaine réponse (place-le en Favoris pour éviter de le perdre). C'est tout ce que je te demande pour l'instant. Si une doute persiste suite à cette analyse, je te ferai expédier le fichier à des collègues pour un examen en profondeur. À bientôt,

Bonsoir maiteline ; D'après le rapport de ComboFix, l'infection n'y est plus, donc bien joué Je ne saurais te dire exactement pourquoi 36960.msi n'apparaît pas dans les détections, mais je soupçonne que: 1) Le fichier a changé de nom après un redémarrage (astuce de l'infection), ou... 2) Norton l'a bouffé, mais ça m'étonnerait vu la nature de cette infection. Si Norton n'aboie plus, ça devrait être bon. MBAM voit cette infection aussi, donc bon signe s'il ne voit rien. ========== Une ligne à fixer avec HijackThis (rien de méchant), alors lance ce dernier avec "Do a system scan only", puis coche la ligne suivante, ferme les fenêtres de navigateurs et clique "Fix checked" : O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/P...000045.0000011b Ferme HijackThis. ========== Adobe Reader version 7 est bourré de failles de sécurité, alors prière de le désinstaller pour ensuite mettre la version 9.1 : http://get.adobe.com/fr/reader/otherversions/ (choisis ton système d'exploitation) ========== Possible que tu aies chopé ce truc via une clé USB infectée. Pour en avoir le coeur net, insère la clé puis scanne avec Norton (tous les lecteurs). Précaution : ne pas tenter d'ouvrir la clé ou de lancer un fichier qui s'y trouve avant d'avoir effectué l'analyse avec ton antivirus. Tu peux également passer MBAM sur les autres machines, si cela peut te rassurer. La machine se comporte normalement ? Je suis là si questions. J'aurai une toute dernière manip à te prescrire, mais seulement après confirmation de ta part que tout semble Oké. @toute

Bonjour maiteline ; je te souhaite la bienvenue sur le forum Je te confirme qu'il s'agit d'une infection nouvelle et très sophistiquée. Une fois installée, cette dernière ouvre des ports sur la machine et permet à d'autres infections de se joindre au party et de se propager sur le réseau (si existant). De plus, elle transforme la machine infectée en serveur proxy afin d'attaquer d'autres ordinateurs. C'est du sérieux. Je n'ai rien lu au sujet de dérobage de mots de passe, d'enregistreur de frappes, etc... mais sait-on jamais avec les infections parallèles. Faut virer l'infection sans tarder. Il serait très surprenant que Norton puisse faire quoique ce soit avec le fichier en question (qui n'est que la pointe de l'iceberg), outre que de le détecter, ce qui est déjà pas mal... Voici ce que je te propose : ==================== Télécharge Combofix.exe de sUBs de l'un des deux liens suivants, puis sauvegarde-le sur ton Bureau (et pas ailleurs) : http://subs.geekstogo.com/ComboFix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe Assure-toi que tous les programmes sont fermés avant de commencer. Désactive ton antivirus et pare-feu tierce partie (si présent), juste pour le temps de l'analyse. Double-clique sur Combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final. Le Bureau disparaîtra, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt Un guide d'utilisation complet se trouve au lien suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix @+

Bonjour Claire Ça semble Oké pour ta machine à présent. Je ne connais pas le fichier responsable de l'infection car il a été viré, probablement par Avast! (ou AntiVir ?) ; ni ComboFix ni MBAM ne le trouvent celui-là et je n'ai pas les rapports des antivirus sous les yeux. Pas grave, c'est le résultat qui compte. Bagle se chope habituellement via cracks, effectivement, mais il peut entrer par une clé USB infectée ou autre lecteur amovible aussi. Ton "pack" Office est probablement clean selon ce que tu me dis, donc la source doit être ailleurs. Là ou je suis inquiet : ces deux détections de trojans, si tôt après avoir été infectée de la sorte ??? Je ne peux que te dire de ré-évaluer tes habitudes, sinon tu finiras ta course en trébuchant sur une bestiole pire que Bagle (= formatage) ; il y en a partout ces temps-ci. eMule est une porte d'entrée de choix, tout comme les autres réseaux P2P et les torrents. Je n'ai pas trop bien saisi ce passage : Voici ma réponse, selon mon interprétation : Avast! connait pourtant bien les fichiers infectieux de Bagle, individuellement, mais laisse passer l'installateur sans aboyer, ce qui est fatal, comme tu as pu le constater. AntiVir, testé chez moi plusieurs fois contre Bagle (et rapidement après la sortie de nouvelles variantes), bloque systématiquement l'installation de cette infection. S'il n'a pas été efficace chez toi, c'est probablement parce que tu l'as installé alors que Bagle était toujours actif ; l'infection est sournoise et peut sembler morte, jusqu'au prochain redémarrage et là... l'antivirus est désactivé et généralement démoli, donc inefficace. Autre constat : on voit parfois des machines infectées où il y avait un bon antivirus à jour : comment est-ce possible ? Simple... téléchargement de crack avec antivirus désactivé ("il me le faut celui-là !" >> tu vois le genre...). Même si l'antivirus est réactivé par la suite, il est trop tard car Bagle force un redémarrage et là, toutes les protections sont détruites. Pour ton info : Bagle n'est pas seulement une infection coriace qui dérange. Elle installe une porte dérobée qui donne le contrôle de ta machine à l'opérateur du Botnet (si tu lis l'anglais, regarde ceci). Je ne peux te dire exactement à quoi ta machine a bien pu servir lorsqu'elle était infectée, mais les possibilités sont diverses et effrayantes. Ceci n'est pas de la science fiction... ============ Maintiens Windows à jour religieusement. Conserve MalwareBytes' Anti-Malware et fais des analyses rapides périodiques (faire les MAJ manuellement au préalable, via l'onglet "Mise à jour"). Je vois que le pare-feu nVidia est désactivé, alors assure-toi que celui de XP est en fonction (via le Centre de Sécurité, par le Panneau de Config) ; il n'est pas le meilleur et je peux t'en conseiller d'autres (gratuits) si tu le veux. Une licence pour Office 2007 Intégrale version étudiants : 52 euros http://www.microsoft.com/student/discounts...fr/default.aspx Sinon, la version de base pour étudiants, en vente libre : environ 100 euros... Prudence sur la toile. Élimine ce risque de détections par ton antivirus, car lorsqu'il y a détections... la catastrophe nous guette. @+

Bonsoir joseclaire Je vais reprendre car Gof a dû quitter pour le boulot. À la vue des rapports, on dirait bien que Bagle n'est plus présent, alors bien joué. Je ne suis pas là pour faire la morale, mais y a un petit truc qui semble louche : C:\Program Files\Microsoft.Office.Professional.2007.FRENCH.REPACK.iSO-iND-David91 C'est daté du 19 Juin. Je ne suis pas expert dans ce domaine, mais ce .iso semble se retrouver via torrents, non? Ou bien il y a quelqu'un qui a installé ça à ton insu... ============== Tu dis avoir réussi à remettre Avast! en fonction ; permets-moi d'en douter. Si je dis ça, c'est juste parce que j'ai souvent lancé Bagle ici (sous environnement contrôlé) et qu'il détruit les boucliers d'antivirus, laissant souvent le programme en état de fonctionnement partiel. L'antivirus ne peut être réparé. Si tu veux en avoir le coeur net... télécharge le petit "faux virus" Eicar du lien suivant : http://www.secuser.com/telechargement/utilitairesdivers.htm (juste le fichier Eicar). Si les boucliers d'Avast! fonctionnent, ils bloqueront le téléchargement. Sinon, il faudra désinstaller complètement Avast! via le Panneau de Config ; je te conseillerais d'installer AntiVir par la suite, car Avast! fait mauvaise figure face à Bagle et autres infections récentes... Tu peux déjà désinstaller ComboFix de la façon suivante : - Clique sur le bouton "Démarrer" >> "Exécuter..." et copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /u Ceci désinstallera ComboFix proprement ; tu ne dois pas conserver cet outil sur la machine, car il est mis à jour fréquemment et ne doit pas être utilisé sans supervision, de toute façon. J'attends donc de tes nouvelles pour Avast! ; ensuite nous pourrons terminer @+

Y a pas de quoi Ça m'a l'air tout bon ; bien joué. Virut est sans pitié et rapide, donc tu aurais eu droit à des rafales de "bips" d'AntiVir s'il avait été présent à quelque part. Virut se chope généralement via des cracks, et sa présence se fait fortement sentir ces temps-ci. Il peut être contracté via lecteurs amovibles et par des IFrames sur certains sites piégés aussi ; grande prudence requise... N'oublie surtout pas IE8, même si tu utilises FireFox ; les failles permettent le passage d'infections "à travers" les navigateurs, même si IE n'est pas utilisé. Si tu as des questions, je suis là (pas très souvent, mais là...). Bon surf @+

Bonjour lynyrd HijackThis n'est pas le meilleur logiciel pour évaluer l'état de ta machine à ce stade-ci, car il n'est pas conçu pour détecter Virut ou autres infecteurs de fichiers ; il aurait vu reader_s par contre (infection parallèle) qui n'y est plus, donc bon signe. C'est toi qui pourra me dire : - AntiVir détecte-t-il quelque chose ? As-tu passé CureIt ? - Comment se comporte la machine ? - As-tu conservé, puis scanné des dossiers/fichiers sauvegardés ? Si oui, ça va ? Par prévention, je te conseille de mettre IE8 + toutes les MAJ critiques pour Windows, si ce n'est déjà fait. J'attends donc ton compte-rendu, en espérant que tout est Oké @+

Bonsoir lynyrd Je constate donc que tu as plus d'un disque dur ; dommage... mais il sera prudent de tous les formater. Je réitère ma suggestion précédente quant à Avast! : mets plutôt AntiVir (ou même AVG8 version gratuite) plutôt. Avast! n'est pas vraiment performant ces temps-ci, malheureusement. Pour ce qui est de scanner des dossiers après formatage : cela exigera une extrême prudence de ta part... car si jamais tu lançais un seul fichier exécutable (infecté) avant de t'assurer de sa propreté, ça relancerait Virut sur le champ. Par prudence, je te suggérerais de ne pas le faire, mais si l'importance de tes dossiers/fichiers est telle que tu préfères risquer une réinfection, je ne peux t'en empêcher (N.B. : si ces dossiers/fichiers sont si importants, il faudra impérativement revoir la façon d'opérer l'ordinateur - de façon prudente, ainsi que de mettre de l'avant une procédure de sauvegardes étanche...). Dernier conseil : si jamais tu conserves des fichiers à risque dans le but de les scanner, passe AntiVir + Dr.Web CureIt (qui scannent tous les lecteurs/disques branchés) derrière pour maximiser les détections / minimiser les risques. Bon succès... et reviens nous dire comment tout cela s'est déroulé @+

Bonjour lynyrd Comme tu peux le constater, l'infection est sans pitié... Pour ce qui est de tes sauvegardes : les favoris, pas de problème puisqu'il ne s'agit pas de fichiers exécutables. Même chose pour les documents perso (de la suite Office par exemple). Pas de soucis pour les images, la musique et les vidéos également. Les emails (sans pièces jointes), les contacts sont Ok aussi. Virut infecte les fichiers exécutables, donc tout ce qui s'appelle "programme". Le système Windows est touché aussi, car il contient une foule de fichiers exécutables ; Virut ne discrimine pas... et infectera tout exécutable qui se trouve sur la machine, y compris les outils de sécurité (antivirus, pare-feu, etc...). Cela dit, tu ne dois absolument pas conserver de programmes, de cracks (si présents) ou d'archives contenant des programmes. De plus : si tu as stocké des programmes ou fichiers exécutables sur des supports amovibles (clé USB, disque externe, CDs/DVDs, etc...), ben ils devront être détruits. Si tu as branché des supports amovibles alors que la machine était infectée, il faudra être prudent : soit tu les formates d'emblée, soit tu les scannes avec l'antivirus tout neuf une fois la machine réinstallée (plus risqué). Je ne connais pas ta config alors... si questions, faut pas te gêner surtout.. @+

Bon... l'infection est bien active et bloque CureIt. J'avais dit une seule manip, mais je vais t'en proposer une dernière ; il s'agit d'un autre outil antivirus (de Kaspersky) qui ne peut cependant pas être renommé. Il ne fonctionnera qu'une seule fois, car dès redémarrage de la machine, Virut l'injectera, si toujours présent. Si cette manip fonctionne, je vais de ce pas te suggérer de passer l'autre outil (Dr.Web CureIt) immédiatement derrière. Je te laisse un lien de téléchargement en fin de post. Alors voici, dans un premier temps : SCANNER AVEC AVP TOOL Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure. Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image: Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Connecte éventuellement tes clés USB et disques externes. Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus Réponds "Oui" à la question "Do you want to continue installation?" Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool" Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...) L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan". Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image: Valide avec "Apply" puis "OK" L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage. A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre: Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK" Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events" Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES" Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation: A la question "Would you like to restart now", réponds "OUI" et redémarre ton ordinateur en Mode normal. Poste le contenu du rapport dans ta prochaine réponse ===================== Si l'analyse a été possible et productive, passe immédiatement CureIt, que tu trouveras ici : http://www.freedrweb.com/cureit/?lng=fr (voir les instructions dans mon post précédent). Poste les deux rapports d'outils ici, dans ta réponse. ===================== ===================== Si rien de tout cela ne fonctionne, explique-moi brièvement ta méthode de "formatage" afin de repérer l'erreur.. @+

Bonjour lynyrd ; Je ne sais pas comment tu as fait cette nouvelle installation mais, de toute évidence, ça n'a pas été fait dans les règles. La présence de Reader_s.exe le confirme ; là nous voyons la clé qui le lance. Tu as viré le fichier ? Hmmm... je doute que cela soit suffisant. Je pense également que tu ne pourras pas installer et lancer AntiVir dans ces conditions. Petite suggestion qui ne coûte rien et qui prendra peu de ton temps, mais c'est la seule manip que je te propose: - Télécharge Dr.Web CureIt sur ton Bureau, du lien suivant : http://senduit.com/db157b *Note* : j'ai moi-même mis le fichier sur Senduit (pour 5 jours) et il est renommé, avec extension .com Double clique rw6terwu.com et ensuite clique sur Commencer le scan; Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X" L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas) Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera. S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression). ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action. *** Si tu soupçonnes qu'une détection semble être fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté. En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus. Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport"; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé). Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?"; clique "Oui". Mais je pense pas que cela soit suffisant. On verra... @+

Bonjour lynyrd J'ai une mauvaise nouvelle : tu devras formater à nouveau. Ton ordi est infecté par un monstre qui se nomme "Virut", qui est un virus infecteur de fichiers exécutables. Virut installe également une porte dérobée, qui permet le contrôle à distance du PC infecté. De plus, il permet à une autre infection d'entrer et cette dernière s'installe en profondeur, dans les périphériques réseau, ce qui rend le nettoyage quasi impossible. Virut est également codé de façon inégale, avec du code corrompu, ce qui limite grandement la capacité des outils de nettoyage. Pourquoi es-tu toujours infecté après reformatage complet ? Virut doit être éliminé complètement, sinon il te ressaute au visage. Souvent, la réinfection s'opère lorsque l'on réinstalle des trucs sauvegardés, tels des cracks ou autres programmes. Il faut comprendre que Virut infecte tous les fichiers exécutables (.exe, .scr) mais aussi ceux qui se trouvent dans des archives (.zip, .rar, etc...). Il a également la capacité d'infecter les fichiers .htm, .html, .php, donc tout ce beau monde à ne pas réinstaller. Autres vecteurs d'infection : les autres partitions ou disques présents, les supports amovibles qui contiennent des fichiers à risque (clés USB, CDs/DVDs, cartes mémoire, etc...). Voici un exemple d'un "coupable" potentiel (déja vu sur les forums) : tu possèdes un fichier d'installation pour un antivirus (Avast! par exemple - légitime ou cracké, peu importe) et ce dernier a été injecté par Virut ; tu as ce fichier sur une partition de donnée ou bien sur un support amovible et tu le remets sur la machine fraîchement formatée : tu le lances et Paf, c'est reparti. Ceci n'est qu'un exemple pour t'illustrer comment il est simple de relancer cette infection... Il te faut donc reformater de façon complète, c'est-à-dire pas une "réparation" ; il faut supprimer la partition système et réinstaller Windows. Si tu as d'autres partitions ou disques durs, il faudra les formater aussi, sinon tu risques gros dès lancement du nouveau système. Les sauvegardes : aucuns fichiers exécutables ni programmes, aucunes archives ni autres fichiers mentionnés ci-haut. Pas de soucis pour les images, documents texte et autres du genre Office, musique et vidéos maison (pas les trucs téléchargés... surtout via Peer-to-Peer et Torrents). Voilà pour Virut... Dernier petit conseil : installe AntiVir (gratuit) plutôt qu'Avast!... ta machine sera mieux protégée. Si tu veux te préparer en téléchargeant des trucs à l'avance (antivirus ou autres), ne le fais pas à partir de la machine infectée surtout... Bon succès, et prudence. @+