Mark

Bonjour alcino ; je te souhaite la bienvenue sur le forum Bon, quelques mots au sujet de Bagle (l'infection présente sur ta machine) : - Infection qui se propage via les cracks, généralement. - Infection qui installe des rootkits ainsi qu'une porte dérobée qui transforme l'ordi en zombie. - Les antivirus, pares-feu et le mode Sans Échec sont détruits, le Centre de Sécurité désactivé, etc... - Désinfection nécessitant des outils puissants. - Sur système 64 bits : désinfection beaucoup plus délicate car plusieurs de nos outils ne tournent pas sous cet environnement... ============ On va d'abord débuter avec un petit diagnostic : Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/OTL.exe - Fais un clic droit sur le fichier téléchargé et choisis : "Exécuter en tant qu'admininstrateur" - Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) : >> Sous Extra Registry, coche Use SafeList >> Vers le haut, coche Scan All Users - Clique maintenant sur le bouton "Run Scan" ** Bagle ralentit terriblement la machine, alors sois patient... - Deux rapports seront générés par OTL, soient OTL.Txt et Extras.Txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches. - Copie/colle le contenu des deux rapports ici, dans ta réponse, s'il te plaît. On attaquera Bagle par la suite..

Tout à fait La discussion est ici, placarole : http://forum.zebulon.fr/lenteur-du-pc-et-p...ns-t164690.html Tu n'as qu'à cliquer sur le bouton "Répondre", au bas de la discussion, celui qui se trouve à côté de "Nouveau" (et pas l'autre au-dessus). Bonne continuation à vous deux. Ce sujet est maintenant fermé.

Salut Mynasa ; Je regarde ton rapport RSIT à l'instant et peux te confirmer le doute initial de Thanos : tu as bien chopé une variante du virus Sality, qui est un infecteur de fichiers exécutables. Non seulement ce dernier infecte tous les fichiers exécutables présents sur la machine (à la longue), mais il installe aussi une porte dérobée ; c'est elle qui te bouffe ta bande passante et limite tes connexions. Cette dernière est également protégée par un rootkit pas commode... qui permet, entre autre, de protéger et regénérer l'infection. Si jamais tu réussi à télécharger CureIt, il faudra le renommer avec extension .com sinon Sality l'injectera dès qu'il touche au PC. Le nettoyage est parfois possible, mais rarement. Le faire proprement, sans séquelles sur le système, est chose encore plus rare. Si tu avais accès à un autre PC pour télécharger des trucs, ça aiderait sûrement, mais rien ne peut garantir un nettoyage complet. Tu me vois venir ? Je laisse Thanos poursuivre dès son retour ; il a vu plus de Sality que moi Petite note additionnelle : j'ai testé chez moi avec date système modifiée et CureIt peut être téléchargé et ensuite lancé brièvement, mais il renvoie une erreur sur la date, effectivement, et se referme ; cela ne correspond pas aux problèmes que tu rencontres avec CureIt. Pour AntiVir : j'ai réussi à le télécharger, l'installer, le mettre à jour et lancer une analyse complète sans problèmes, avec date modifiée à Juin 2002. C'est Sality qui te bloque tout, finalement. Bonne continuation à vous deux

Uhmmm... Essaie à partir de ce lien (CureIt nommé kk4uq8pq.exe) : http://senduit.com/873285 **Le fichier fait 14Mo alors ça prendra un peu de temps (si ça marche). @+

Coucou vous deux J'ai trébuché sur votre discussion et j'ai peut-être une 'tite piste, pour faire avancer. Je te vois au bas, Mynasa, alors je poste ceci rapidement : La date de ton système affiche 18/06/2002 en ce moment : ceci est évidemment faux et provoquera des erreurs ou non fonctionnement de certains outils. Remets la bonne date et heure via l'horloge Windows (au bas à droite), ensuite retente pour Dr.Web CureIt. Sait-on jamais... @+

Coucou angélique Mort de rire. Y a pas un beau double sens dans cette affirmation ? Choisir un crack ? Héhéhé. Oui tu es new sur le fofo, en effet, mais faut pas débarquer en ... hein Y a une FAQ sur le fonctionnement de la section, donc inclue-là dans tes lectures, j'oserais dire en priorité : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Deux modos qui débarquent, vert ou violet, c'est le même prix Ciao (et bonnes lectures).

Salut gsjm80 Prière de poursuivre ici : http://forum.pcastuces.com/sujet.asp?s=48802&f=25 Je ne sais pas si tu as posté ailleurs. Les bénévoles de forums sont fortement sollicités et il ne faut pas se disperser sur plusieurs forums pour un même problème. Ça peut également être dangereux pour ton PC... si tu suis différentes instructions en simultané alors que les bénévoles ne savent pas ce que tu fais ailleurs. Je fermerai cette discussion-ci très bientôt. Bonne continuation là-bas.

Me revoilà ; J'ai contacté pear, qui saura te guider pour la suite. Donc prière d'attendre les prochaines instructions. Bonne continuation à vous deux

Bonsoir Ab1032, pear Ab1032 : étant donné que ton Vista est un 64 bits, cela complique un brin les manipulations. Tu as également raison de croire que le système 64 bits te protège partiellement de l'assaut complet de Bagle. Comodo, quant à lui, protège partiellement aussi mais là nous gênera lors du nettoyage. ComboFix, quant à lui, ne tournera pas sous 64 bits. Donne-moi quelques minutes car je dois vérifier quelques trucs, et je repasserai avec plus de détails. @tout de suite

Bonjour franck ; Ah oui, j'avais loupé cette étape-là. Pas grave. Je ne te demanderai rien de plus, surtout que vous étiez dans le gros ménage. Pear devrait être de retour très bientôt. Je garde un oeil sur le topo et je reviendrai si pear ne repasse pas pendant le weekend. @+

Bonjour franck de Marseille Juste pour te signaler que pear a dû s'absenter et sera de retour vers la fin de cette semaine (demain ou vendredi, probablement). Pour faire avancer, je vais te demander un truc, que pear pourra consulter à son retour : Tu as passé ComboFix (instructions de pear au post #4) ; le rapport que tu as collé indique que l'outil a tourné deux fois, donc le rapport fourni ne contient pas toutes les informations pertinentes, c'est-à-dire les résultats du premier passage de l'outil. Ça peut nous être très utile. Cela dit, il est possible que ComboFix ait "raté" lors de ton premier essai et qu'il n'existe pas de rapport pour ce passage ; seul toi pourra nous le dire. - Ne repasse pas l'outil, je veux seulement voir un rapport texte (s'il existe). - Si un rapport a été créé, tu le trouveras par là >> C:\Qoobox\ComboFix2.txt - Copie/colle son contenu ici, s'il te plaît. - Si tu as repassé l'outil depuis (à éviter...), colle le rapport qui aura le chiffre le plus élevé (ComboFix3.txt ou ComboFix4.txt, par exemple..). Merci, et bonne continuation. @+

Bonjour jackrix ; L'Équipe est toujours là pour répondre aux questions Il s'agit de faux positifs, dans ton cas (pour Malwarebytes' Anti-Malware). Le programme a subit quelques transformations ces derniers temps et ils en sont à ajuster la "sensibilité"... disons-le comme ça. La remontée a été faite ici >> http://www.malwarebytes.org/forums/index.php?showtopic=13532 Ça devrait être réglé, au moment où j'écris ces lignes. Si le programme n'a pas supprimé les clés, fais sa mise à jour et refais une analyse, juste pour confirmer. Si MBAM a supprimé les clés, tu devras les restaurer via sa quarantaine, comme ceci : - Lance MBAM et choisis l'onglet "Quarantaine" ; - Clique sur chacune de ces clés (listées dans ton post) puis clique le bouton "Restaurer" (au bas). C'est tout. En espérant que tout aille bien @+

Bonsoir cashou ; J'avais mon idée en tête mais j'ai oublié de la poster ici (désolé). Bon, il faudra le DD externe avant de terminer le nettoyage. Je vais donc revenir un peu plus tard et poster la suite, que tu exécuteras seulement lorsque tu auras le disque en ta possession. Pour ce qui est de l'infection dans le moment présent : elle a été nettoyée donc, en prinicipe, pas de récidive possible à moins que tu ne relances le fichier qui en était à l'origine (je ne sais pas lequel, sur ta bécane). Probable qu'il n'y soit plus, de toute façon. Le DD externe demeure une source potentielle de problèmes, donc il faut y voir. Si jamais tu as des symptômes ou problèmes d'ici le weekend, n'hésite pas à m'en faire part rapidement. @ bientôt

Il me reste quelques minutes, alors me revoilà.. Oké pour le "Massengeer live". J'aurais été très curieux de savoir ce que c'était par contre (ce que contenait le répertoire). J'aurais dû te spécifier de ne rien faire - mea culpa. Pas grave. Juste pour ton info : Bifrost est une porte dérobée qui permet au hackeur de contrôler ta machine à distance. Dans quel but ? Ça dépend, mais c'est souvent pour transformer les machines infectées en serveurs à spam. Y-a-t-il risque de dérobage d'info personnelles et/ou mots de passe, etc.. ? Oui. Je repasse plus tard @+

Merci pour ces rapports Ça semble moins sérieux que je ne le pensais au départ. Tant mieux. Je vais faire quelques recherches pour m'en assurer et je devrais revenir plus tard en soirée pour la suite (ou durant la nuit - décalage horaire oblige). Quelques petites questions par contre : - Comment se comporte le PC maintenant ? - Quand auras-tu accès au DD externe ? - As-tu une idée de ce qu'est ce truc ? >> C:\Program Files\Massengeer live Ah oui... j'ai vu ton topo sur IDN : rends-moi service et demande la fermeture du sujet là-bas s'il te plaît. Il ne faut pas recevoir d'aide de deux ou + bénévoles sur des forums différents. Ça peut être dangereux pour ta bécane et ça bouffe du temps à plusieurs bénévoles. Merci. http://www.infos-du-net.com/forum/286400-11-hacker En attente de ton retour sur les questions et je poursuis les recherches @+

Bonjour cashou Apollo et moi avons discuté de ton cas, et j'aurais quelques analyses à te proposer. Si l'infection que je soupçonne est identifiée, il ne sera pas simple de nettoyer, mais on peut essayer. Si une seconde infection est présente, qui accompagne souvent la première, là le nettoyage sera impossible. Selon les rapports fournis, je ne vois pas la seconde mais je préfère m'en assurer : ============ - Première étape : démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier suivant : C:\WINDOWS\explorer.exe - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. >> Refais la même chose pour le fichier suivant : C:\WINDOWS\System32\userinit.exe Poste les deux rapports dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~ Dernière étape : Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/gmer.zip - Sauvegarde-le sur ton Bureau - Extrais le contenu du fichier .zip sur ton Bureau (GMER.exe), puis lance-le par double-clic; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite); - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau; - Copie/colle le contenu de ce rapport dans ta réponse. À bientôt

Bonjour act Merci à Gof Ouais gros weekend ici... J'avais fait quelques recherches samedi sur les pares-feu. J'ai trouvé le même que Gof : Comodo. Il est compatible Vista 64 et XP 64 aussi (j'ai trouvé quelques notes pour XP 64 enfouies dans les détails techniques). Moi j'ai beaucoup utilisé la version 2.4 de Comodo ici et je l'aimais bien. Pour la v3 qui est actuellement dispo, je la trouve très avancée techniquement et un peu agressive à mon goût... Ce pare-feu est une vraie forteresse et ne fait pas que surveiller les connexions. Comme quelques uns des nouveaux pares-feu tels Online Armor et Sunbelt (Kerio), Comodo (v3) possède un HIPS plutôt efficace mais très intrusif ; il faut aimer, mais la protection offerte est drôlement solide. Je ne connais pas beaucoup les deux que tu as repérés... Il existe possiblement de très bonnes suites payantes - antivirus + pare-feu, compatibles XP 64 ; par contre, elles peuvent être gourmandes (très) côté ressources. Si tu en trouves un qui te plaît et qui permet à XP de bien tourner, tant mieux Avec AntiVir, tu as une bonne base côté protection maintenant ; avec un comportement prudent, les risques sont de beaucoup diminués. Il n'y a pas juste la toile qui pose un risque ; il y a les supports amovibles aussi et l'antivirus en fonction te protège de ce côté. @+

Voilà une bonne nouvelle Pour Live maintenant : je ne crois sincèrement pas que ce soit lié à l'infection. Si le programme avait été touché, il ne se lancerait plus du tout. Sur mon XP d'essaies, j'ai dû lancer Bagle une bonne quarantaine de fois et il tourne toujours assez rondement malgré les assaults, sans parler des autres bestioles qui ont tourné aussi. Ta RAM : je vois que tu as 4 Gigas ce qui me semble très suffisant. Possible que les gros projets en bouffent une bonne partie mais ça devrait aller. Ton lecteur D: par contre arrive bientôt à saturation (juste 15% d'espace libre au début de nos manipulation) ; Windows n'aime pas trop les lecteurs ayant moins de 15% d'espace libre... Il te faudrait peut-être ajouter un DD, interne ou externe, surtout avec tes gros projets. Là je vais te conseiller un truc à essayer mais il faut être très vigilant : désactive la protection d'AntiVir lorsque Live rame, juste pour voir. Tu fais ça avec un clic droit sur l'icône près de l'horloge (le parapluie) et puis clique sur "AntiVir Guard enable" (il y aura un crochet devant lorsqu'activé - pas de crochet lorsque désactivé et le parapluie se referme). Ne surfe pas sans le "Guard" par contre. Si ça aide pour Live, tu sauras quoi faire lorsque tu bosses. Tu pourras aussi nettoyer/vider les fichiers temporaires et défragmenter les lecteurs. Pour les fichiers temporaires, il existe plusieurs petits softs gratuits qui le font, mais je ne sais pas s'ils tournent sous XP 64 Bits alors il serait prudent de le faire via Windows directement ("Démarrer" >> "Programmes" >>"Accessoires" >> "Outils système" >> "Nettoyage de disque"). ========== Là je vais te faire réactiver le Centre de Sécurité de Windows (désactivé par Bagle) : "Démarrer" >> "Exécuter..." et tape ceci : services.msc (valide avec [OK]) - Dans la liste qui apparaît, retrouve "Centre de sécurité" et double-clique dessus ; - Mets le "Type de démarrage" à "Automatique" - Clique le bouton "Démarrer" (juste au-dessous) puis valide avec [OK] Possible que tu aies une alerte du Centre de Sécurité (un bouclier près de l'horloge) qui t'avise que les mises à jour automatiques sont désactivées : tu pourras les réactiver à partir de là (double-clique sur le bouclier et suis les invites). Si tu ne veux pas de mises à jour auto pour Windows, tu pourras désactiver l'alerte via le Centre de Sécu (Panneau de Config >> Centre de Sécurité). ~~~~~~~~~~~~~~~~~ Pour supprimer OTListIt2 proprement : lance l'outil et clique le bouton "CleanUp" (au haut à droite). Voilà, je crois que tout est en règle à présent Pour AntiVir : à chaque mise à jour du logiciel, une fenêtre popup apparaît t'invitant à acheter la version Premium ; ceci est normal et tu peux simplement fermer la fenêtre avec la touche Échap, en cliquant "OK" ou en cliquant le "X" (au haut à droite). Questions ? Pas de gêne @+

Bonsoir Erevan ; J'ai repéré ton topo sur CCM : http://www.commentcamarche.net/forum/affic...infection-bagle Il ne faut surtout pas suivre les instructions de deux (ou+) bénévoles pour un même problème, car ça peut être dangereux. Pas de réponse là-bas, pour l'instant, alors je vais te demander de simplement poster (copier/coller) les rapports de ComboFix (situé à C:\ComboFix.txt), celui de FindyKill et aussi celui de Malwarebytes' Anti-Malware, s'il te plaît. @toute

Bonsoir act ; J'ai le fichier qui, je l'espère, fera le travail cette fois-ci. Il vient d'un XP Pro 64 SP2. C'est par là >> http://senduit.com/aacbc0 Même technique que la fois précédente : - Sauvegarde-le sur le Bureau (Windows) - Exécute-le et accepte la fusion avec le registre. - Redémarre et tapote F8, puis essaie le mode Sans Échec. J'attends de tes nouvelles pour la suite @+

Bonjour act J'ai testé à nouveau chez moi, et j'ai une petite mauvaise nouvelle au sujet des clés SafeBoot : Bagle les supprime toutes dès qu'il s'installe. Tes clés sont peuplées, oui, mais avec les mauvaises sous clés (celles que je t'ai fait mettre l'autre jour - qui ne fonctionnent pas..). Pas de soucis par contre, car je pense avoir trouvé une source très fiable qui me fera parvenir la clé en question (la bonne), très bientôt. Je vais attendre pour cette clé et je reviens ici le plus tôt possible. Je tiens également à te remercier : grâce à nos petites expériences, tu m'as fait découvrir une nouvelle technique pour virer cette saleté de Bagle (testée chez moi, sans Linux). Nos outils fonctionnent très bien sous 32 Bits, mais là j'ai une technique qui fonctionnera sous 32 et sous 64 Bits, sans risques je pense et sans les outils puissants. Je vais mettre ça au point, tout doucement. C'est toujours intéressant d'avoir une méthode alternative sous la main. À três bientôt pour la suite des réparations (mineures).

Merci Si elles sont peuplées, c'est bon signe. Je te prépare une petite manip dans quelques heures (là je manque de temps) que tu pourras exécuter demain. Bonne nuit

Salut eds9.3 ; En anglais ? Ben c'est Zonk qui va être heureux Non sans blague, la version franco (la 8 ) est très bien. La nouvelle (9) est certes une évolution côté moteur, mais la "puissance" de l'antivirus est sans doute la même sous les deux versions. Un antivirus doit être agréable à utiliser ; sinon, certains ont tendance à les ignorer, voir envie de les désinstaller. Demande à "quelqu'un" ce qu'il/elle préfère @+

Salut act C'est à peu près ça, oui. Seuls les pilotes critiques au fonctionnement "minimal" sont chargés. Plusieurs Services ne sont pas chargés également (XP et Vista). Ce mode existe surtout pour le dépannage, lorsque des conflits existent par exemple. Il peut aussi servir pour supprimer des bestioles qui refusent d'être supprimées en mode Normal (Bagle par exemple, qui est pratiquement sans vie en Sans Échec, mais se protège en tuant les clés nécessaires au lancement du mode). ============== Je vais te demander de regarder un truc dans Windows (une piste possible) : Lance l'éditeur du registre ("Démarrer" >> "Exécuter..." >> tape regedit puis valide [Ok]) Regarde sous ces clés : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00#\Control\SafeBoot (où # est un chiffre de 1 à 3, parfois 4 et +) Dans ces clés, il y a deux sous clés : Minimal et Network Dis-moi si ces clés sont peuplées ou non (en cliquant le "+" devant elles) ; elles pourraient contenir une bonne trentaine de sous clés. Si oui, dis-moi laquelle ou lesquelles (exemple : ControlSet001) ; possible qu'elles soient vides aussi. Ne me liste pas le contenu, je veux juste savoir si les sous clés existent ou non. Ceci pourrait permettre une restauration de clé, si Bagle n'a pas tout vidé. Si tu y trouves les sous clés, je te ferai faire exporter la clé et je te prépare une manip. Sinon, je trouverai une clé par un autre moyen @+

Pas de soucis Zonk... La page vers laquelle tu linkes est d'Avira et en français, donc pourquoi ne pas y retrouver la version franco ? Petit carton jaune à Avira là-dessus. Vrai que la version franco est assez récente, donc ils n'ont simplement pas mis leurs liens à jour.