Mark

Salut Bon ben je vais fouiller pour les clés SafeBoot ; ça peut prendre un certain temps par contre. Je te tiens au jus. Pour Live : bah je suis bête, moi qui croyais que tu parlais de Windows Live (Messenger), mais toi c'est un séquenceur. J'espère qu'il fonctionnera à nouveau. Pour ce qui est d'Acronis, tu devras très probablement le réinstaller car Bagle lui a bouffé son exécutable ; à moins que tu puisses trouver le fichier sur une autre bécane. L'infection semble complètement morte à présent. Excellent. Dis-moi comment ça se passe avec Live et n'hésite pas à signaler tout autre dysfonctionnement. Moi je poursuis les recherches @+

Salut Zonk et bonsoir eds9.3 ; La page proposée semble offrir la version française, mais lorsqu'on suit jusqu'au téléchargement, c'est la version anglo qui (je pense) est offerte. La version française se trouve sur cette page-ci (pas trop en évidence via Google) : http://www.free-av.com/en/download/download_servers.php Le lien direct pour la version franco : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe En regardant de près, on voit que les versions anglo et allemandes en sont à la version 9 (toute nouvelle), alors que la version française en est toujours à la 8. Avira disent que nous auront la 9 bientôt (d'ici quelques semaines). La version 8 est très bien et suffisante, pour l'instant. @+

Bonjour act Quel beau travail ! (AntiVir et toi ) Ah il était bien là le coquin ; une porte dérobée, mais pas Bagle. AntiVir semble avoir tout nettoyé, y compris le lecteur H: (clé). C'est excellent car Bagle se propage via lecteurs amovibles. Maintenant qu'AntiVir est bien installé et te protège, je te conseille très fortement de le conserver car, de toute évidence, la machine est à risque. Je dois te dire aussi qu'il existe des infections pires que Bagle qui circulent dans le monde des cracks actuellement, où un formatage est la seule solution. De plus, XP 64 est spécial (ça tu le sais) donc la majorité de nos outils habituels ne tournent pas, jusqu'à preuve du contraire. ============ Pour le mode Sans Échec maintenant : je n'ai pu trouver les clés propres à XP 64, mais je vais supposer qu'elles sont similaires à celles de XP 32 Bits. Je vais te les mettre et, au pire, ça ne fonctionnera pas, sans dégâts additionnels (et je poursuivrai les recherches, le cas échéant). Tu n'as qu'à télécharger le fichier du lien suivant et sauvegarde-le sur ton Bureau (sous Windows) : http://senduit.com/7a3783 >> Lance-le par double clic, accepte son exécution puis accepte la fusion avec le registre. Redémarre en tapotant la touche F8 pour essayer le mode Sans Échec à nouveau. Dis-moi si ça fonctionne Ensuite, lance Malwarebytes' Anti-Malware et choisis l'onglet Mise à jour ; fais la mise à jour puis relance une analyse rapide, juste pour voir si tout a été nettoyé. Pas nécessaire de poster le rapport si rien n'est détecté. Selon les trouvailles, il faudra ensuite réparer le Centre de Sécurité de Windows (désactivé par Bagle). Si tu utilises ou penses utiliser un jour une connexion Wi-Fi avec cette machine-là, fais-moi signe car Bagle désactive ça aussi. À bientôt pour la suite,

Bonjour act Bravo ! Voilà une étape importante que tu viens de franchir, un peu inattendue mais tout à fait la bienvenue Oui il reste des trucs à faire. Je n'ai que quelques minutes (pour l'instant) alors voici : Tu ne pourras pas démarrer en mode Sans Échec, car Bagle a détruit les clés de registre associées ; il faut les remplacer/réparer et là je dois faire quelques recherches, pour le 64 Bits. La priorité : te mettre un antivirus (compatible) et faire une analyse complète tout de suite. J'ai fouillé un peu et mon préféré, AntiVir, est compatible XP 64 mais seulement dans sa toute dernière version 9, sortie la semiane dernière et pas encore dispo en langue française. Si ça ne te gêne pas d'avoir l'interface anglo pour quelques temps, voici le lien direct : http://dlce.antivir.com/package/wks_avira/...personal_en.exe - Installe-le (c'est tout simple). Après l'installation, refuse l'analyse rapide puis fais un clic droit sur son icône près de l'horloge et fais la mise à jour. Ensuite, double-clique sur son icône près de l'horloge et fais une analyse complète. Un rapport apparaîtra à l'écran en fin d'analyse ; copie/colle son contenu ici. **Une version Française sera disponible d'ici un mois ou deux, selon mes sources. On verra pour la suite @+

Bon Dimanche Où en es-tu avec les sauvegardes ? Ça va ? Pendant que tu finis tout ça, j'ai une autre question et je t'explique : Bagle fait un truc assez astucieux : il cible un processus légitime qui se lance au démarrage et le remplace par son infecteur principal (winupgro.exe) ; ceci permet à Bagle de se réinstaller à chaque fois que le registre lance le processus. Problème : ce processus est choisi aléatoirement et le fichier porte le nom original. Lors de mes essais par exemple, j'ai vu QTTask (Quick Time), Google Updater, Messenger et d'autres qui ont été ciblés. Il faut virer ce fichier rapidement pour éviter une réinfection. Nos deux outils anti-Bagle les retrouvent et les bons antivirus aussi. Moi je vais te demander de le repérer sur ta machine et voici comment faire : Je soupçonne celui-ci, dans ton cas : C:\Program Files (x86)\Common Files\Acronis\Partition Suite\oss_reinstall.exe (mais je pourrais me tromper, on verra) >> Via l'Explorateur, regarde ce fichier qui pourrait avoir un icône qui ressemble à une clé (verte pâle) ou autre icône inhabituel. Si c'est le cas, regarde ses propriétés et s'il fait 844Ko, c'est winupgro.exe (renommé). Si tu l'identifies, ne regarde pas pour le fichier suivant (car il n'y en a qu'un seul). Si ce n'est pas lui, regarde pour celui-ci : C:\WINDOWS\algd.exe Possible aussi que Bagle n'ait pas ciblé de processus légitime du tout, mais l'expérience nous dit que la probabilité est forte. Si tu trouves le fichier (icône de clé ou autre étrange avec poids de 844Ko), supprime-le immédiatement. Le programme qui utilisait ce fichier devra éventuellement être désinstallé puis réinstallé, mais on verra à ça plus tard. Dès que les sauvegardes sont faites, on fait des essais d'outils. @+

Salut act Merci pour le rappel (Linux), car ça pourrait être utile en effet. Il faut que je vérifie quelques trucs avant par contre. Ça te laissera le temps de terminer tes sauvegardes. J'ai fait d'autres tests hier, sur machine XP virtuelle (32 bits) et je n'ai pas obtenu les résultats que je recherchais. Pas grave, je fouille toujours. Et j'attends des retours sur quelques questions Pour Live : fort probable que ce soit Bagle, en effet. Il est brutal et n'aime pas qu'on touche à la connexion (sa porte dérobée en souffre...). À très bientôt,

Bonjour act, et merci pour ces rapports Verdict : à ma grande surprise, Bagle s'est bien installé en force sur ton XP 64 ce qui, en théorie, ne devait pas arriver. Ça ne devait pas arriver car, en théorie, un rootkit doit avoir un pilote signé numériquement afin de s'installer sur un système 64 Bits. Ce XP a été très peu distribué et je ne l'ai pas ici, donc je ne peux pas tester moi-même. Que faire maintenant ? Voici ce que je propose : - Fais tes sauvegardes de fichiers importants, car nous allons expérimenter et il faut se préparer au pire (formatage possible). - Lorsque les sauvegardes seront faites, je te proposerai de tester deux outils (un à la fois bien sûr). Au final, Bagle doit être enlevé car ta machine est quasi inutilisable et, de plus, elle est contrôlée à distance. Qu'en penses-tu ? @+

Honnêtement, je suis heureux pour toi Pour ce qui est de la santé de ton PC ; je suis convaincu qu'il y a des fichiers corrompus, mais tu as eu de la chance car l'étendue des dégâts semble avoir été très limitée au départ (j'ai retrouvé ton topo). De plus, eScan a été capable de réparer alors que nous voyons trop souvent le contraire avec certaines variantes, où l'outil (AVP, son grand frère) supprime sauvagement les fichiers système sans pouvoir les désinfecter (le mauvais code dont je te parlais..). Je le répète, tu sembles avoir eu beaucoup de veine et en plus tu te débrouilles (semble-t-il) avec des techniques assez avancées, que la majorité des visiteurs ne pourraient exécuter. C'est une chose que d'être heureux de son sort, mais toute une autre que de promettre à d'autres le même succès... alors que la réalité est bien différente. Maintenant que tu as affronté cette chose et que tu la connais un peu mieux, tu auras sûrement pris un coup de sagesse quant à l'origine de l'infection ; b'enfin je l'espère, si tes données sont à ce point précieuses... Dernier petit point, pour sécurisation : ta machine Sun Java n'est pas à jour. Fais la MAJ vers la version 6 Update 12 et vire les anciennes via le Panneau de Config Bon surf. @+ (et terminé pour ce topo)

Pas du tout. HijackThis est très insuffisant pour diagnostiquer Virut et autres infections complexes ; il ne gratte que la surface. D'ailleurs, certaines variantes récentes de Virut ne se laissent pas voir par l'outil (pas de Reader_s par exemple). Si tu relis mes mots : Virut laisse entrer des amis (nous en voyons une bonne partie dans ton premier rapport >> une porte dérobée visible). Autre rappel : Virut ne se présente pas avec un "code constant" et reproduisible sur 100% des infections rencontrées, donc les antivirus sont incapables de bien identifier et ensuite de bien traiter les fichiers détectés. Résultat : des fichiers corrompus demeurent et sont inutilisables, voir même un risque de réinfection si le code actif n'a pas été neutralisé. Si j'avais ta bécane, je la formaterais, mais ça n'engage que moi. Je sens que je ne vais pas te faire changer d'idée. C'est de bonne guerre et libre à toi de croire ce que tu veux. Perso, je vois suffisamment d'infections (Virut compris) pour bien appuyer mes dires. Pour aider efficacement sur un forum, il faut être relativement compétent mais aussi réaliste et bien à jour sur les menaces qui circulent. Ton expérience est "unique" et non concluante, surtout que tu risques d'avoir des surprises dans le court terme. Sur ce, je te laisse le droit d'une réplique (si tu veux) et me réserve le même droit ; ensuite je te demanderai de laisser le champ libre à Crootte, car ceci est sa discussion et il reviendra pour la conclusion. Si tu veux débattre plus longuement, tu devras le faire dans un topo propre à ta cause. Merci pour ton témoignage @+

Bonjour sparkweb ; Ce qui suit n'est pas une attaque de tes convictions ni de ton expérience, mais le fruit de plusieurs essais avec ce virus par des experts au cours des dernières semaines. Ton approche comporte trois failles majeures selon moi : 1) Ton expérience : combien de machines infectées par ce Virut as-tu nettoyé avec succès ? Là tu dis ouvertement que Virut peut être viré / réparé sans trop de difficultés, alors que la réalité est tout autre. Tu donnes de l'espoir à celles et ceux qui vont lire ton post (un faux espoir...). 2) AVP Tool de Kaspersky : nous connaissons très bien cet outil et il fait partie de notre arsenal depuis longtemps. Problème, il ne désinfecte pas Virut mais supprime toutes les détections. On fait quoi lorsque des fichiers tels userinit.exe, winlogon.exe et explorer.exe sont infectés ? C'est très fréquent, en fait, donc tu passes AVP là-dessus et la machine ne démarre plus. En Live, il est possible de remplacer les fichiers, mais via un forum lorsque la machine est hors service ? Tu parles aussi de ndis.sys : ça a l'air tellement simple en te lisant, alors que la réalité est tout autre. Le niveau de difficulté sur celui-là est extrême. Virut est mal codé et les antivirus (AVP / Kaspersky compris) n'arrivent pas à tout nettoyer et à tout remettre à l'état original. L'outil peut voir "propre" alors que plusieurs fichiers demeurent corrompus et inutilisables. Virut vient avec des portes dérobées et rootkits ; AVP Tool est incapable de les traiter. Il existe un outil antivirus meilleur qu'AVP Tool pour Virut, mais même ce dernier n'arrive pas à tout nettoyer. Rappel : tout ceci a été testé abondamment avec les deux ou trois dernières variantes. 3) Tu ne mentionnes pas les sauvegardes : c'est primordial de faire sauvegarder les fichiers perso avant de tenter quoique ce soit. Ne pas le faire est dangereux pour le visiteur, voir irresponsable (limite). Si AVP plante la machine (fréquent avec Virut), le visiteur fait quoi ? N'oublions pas que l'on parle d'aide via forums, pas du direct. ============== Le formatage bien fait est efficace à 100%, malgré ton allusion au contraire. Il s'agit de bien connaître la bête et de guider efficacement le visiteur infecté, c'est tout. Dernier point : si je prescris le formatage sur le forum, ce n'est pas par paresse ou manque d'habileté/connaissances, mais plutôt par souci d'efficacité et par sagesse, appuyée sur de nombreux essais et avis d'experts. Je ne doute pas de ta sincérité ni de ton désir d'aider, mais parfois il faut mieux connaître la bête avant de crier victoire. Cela dit, je pense que tu devrais formater ta propre machine si tu veux être sûr à 100% de sa propreté. À l'usage, tu feras possiblement face à des fichiers corrompus et à une machine instable. Sur les forums, nous aimons pouvoir garantir l'efficacité de nos méthodes à un très haut pourcentage d'efficacité ; c'est loin d'être le cas avec Virut, surtout que nos testeurs nous disent que même en Live et avec beaucoup de doigté les résultats sont peu encourageants. Donc voilà pour Virut. Pour l'instant. @+

Oké. Je peux peut-être accélérer tout ça. Je viens tout juste de tester un outil sous W7 et ça a nettoyé Bagle de façon satisfaisante. Il ne me reste qu'à vérifier en profondeur, mais le plus gros a été enlevé. Cet outil devrait tourner sans problème sous XP 64 également, alors voici : (tu fais ça si tu as le temps ; si tu dois reporter à dimanche, je préférerais que tu regardes pour mes questions précédentes avant de lancer cet outil). ===================== Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. @bientôt

Bonsoir act ; Merci pour ta patience Fascinant ce XP 64. Là j'ai quelques trucs à te faire vérifier avant de "fixer" quoique ce soit, par prudence. Des choses toutes simples : ============== Je veux m'assurer que tu puisses bien voir tous les fichiers cachés, comme ceci : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... 1) Va sur le site de VirusTotal, c'est par là >> http://www.virustotal.com/fr/ - Clique sur "Parcourir..." et recherche le fichier suivant : C:\WINDOWS\system32\Explorer.exe - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2) Dis-moi si ce fichier existe sur ta machine (via l'Explorateur ou le Poste de Travail) : C:\WINDOWS\SysWOW64\Explorer.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 3) Essaie le mode Sans Échec, juste pour voir s'il fonctionne. D'habitude, Bagle le massacre et il est inutilisable. Je suis juste curieux quant au comportement de l'infection sous XP 64 (sous Seven 64 Bits, le mode Sans Échec n'est pas perturbé). Pour atteindre le mode Sans Échec, tu n'as qu'à redémarrer la machine et ensuite tu tapotes la touche F8 juste après le "Bip", lors du démarrage. Choisis le mode "Sans Échec" de la liste et valide. Si ça fonctionne, parfait, tu peux redémarrer en mode Normal. Si Bagle a attaqué les clés SafeBoot, la machine redémarrera d'elle-même en mode Normal. Merci pour tout ça, et à bientôt pour la suite

Merci pour ces rapports J'avais mal lu pour le système 64 (XP et non Vista), mais l'approche sera la même car l'infection réagit différemment sous 64 Bits vs 32 Bits, peu importe le système (XP, Vista ou Seven). Bagle ne s'est que partiellement installé et c'est très bien. J'ai une grosse journée aujourd'hui mais je ne t'oublie pas. Je repasserai dès que possible avec la suite des manipulations. D'ici là, essaie de ne pas connecter la machine à internet sauf pour nécessité absolue, car Bagle installe une porte dérobée et se sert des machines infectées (par contrôle à distance) pour spammer et/ou distribuer des fichiers infectés. À très bientôt..

Bonjour act ; désolé pour ce délai mais il était nécessaire. Très peu de gens se sont pointés sur les forums avec un Vista 64 infecté par Bagle jusqu'à présent. Les trouvailles ne sont pas très concluentes, mais donnent des pistes. Je n'ai pas Vista 64 ici, mais j'ai Windows Seven 64 qui est très semblable, alors j'ai fait quelques tests avec un Bagle actif (disons à moitié actif, car le rootkit ne semble pas s'installer sous l'environnement 64 Bits, ce qui est une bonne nouvelle..). Je vais donc te demander de faire une analyse avec un outil diagnostique qui tourne bien sous 64. À la lecture du rapport généré, je pourrai écrire un fix pour nettoyer cette saleté de Bagle (enfin je l'espère ) : ============ Télécharge OTListIt2 (de Old Timer) sur ton Bureau : http://oldtimer.geekstogo.com/OTListIt2.exe - Fais un clic droit sur le fichier et choisis "Exécuter en tant qu'administrateur" - L'outil se lancera ; - Dans la fenêtre qui apparaît, ne modifie aucun réglage sauf "Extra Registry" que tu dois modifier en activant "Use SafeList" - Coche également "Scan All Users" (au haut à gauche) - Clique maintenant sur le bouton "Run Scan" - L'analyse ne durera que quelques minutes tout au plus. Laisse l'outil tourner sans interruption. - Un rapport apparaîtra à l'écran : copie/colle son contenu ici, dans ta réponse. @+

thnos ? Tu veux dire Thanos ?? Non, connais pas... Thanos est un collègue de longue date, l'un des meilleurs et il a tout mon respect Ton lien pointait probablement vers "sendspace" et non "sentspace", n'est-ce pas ? Pas grave, ce qu'il y avait placé a été supprimé depuis longtemps (leurs serveurs ne conserve les fichiers que quelques jours, au max). Fais gaffe avec les sauvegardes. Sois parano plutôt qu'enthousiaste, ça pourra t'aider à garder le second disque propre Reviens si questions ou commentaires ; pas de gêne surtout. @+

Salut pinok Heureux que ça ait marché Ton premier disque est infesté de Virut ; heureusement que Windows bloque son ouverture ! Tel que mentionné précédemment (à quelques reprises, avec du gras et rouge en plus...héhé), ce disque doit être formaté d'urgence, sinon tu risques une réinfection du disque sain... À te lire..

Salut pear Et bonsoir act ; bienvenue sur le forum Je m'excuse de l'intrusion, mais je vais devoir regarder un truc avec pear avant qur tu ne lances FindyKill. Ton Vista est un 64 Bits ? Si oui, je ne suis pas sûr que nos outils puissent t'aider On regarde ça ensemble, pear et moi. @ bientôt

Salut keito ; Un excellent tuto ici : http://www.astucesinternet.com/modules/new...php?storyid=147 Lors de l'installation de Windows, il faut être attentif car, à un certain moment, tu auras l'option de supprimer le contenu de la partition (voir l'étape 4-C dans le tuto). Il faut supprimer le contenu de la partition... @+

Bonjour keito, et bienvenue sur Zébulon Malheureusement, ton PC est très infecté et l'une de ces infections est un virus destructeur (Virut). Ta machine doit absolument être formatée. Présentement, tu es sous contrôle à distance et la machine sert de relai pour du spam. Tous les fichiers exécutables sont touchés et la réparation est impossible. Si tu n'as pas fait tes sauvegardes, il est temps de le faire. Cependant, tu ne dois pas sauvegarder les fichiers suivants (car infectés et source de propagation si réinstallés) : - .exe (tous) - .scr - programmes (ils contiennet des fichiers exécutables) - .htm et .html + .asp et .php (ils contiennet un IFrame exploit qui propage Virut dès contact) - archives (.zip et .rar) qui contiennent des fichiers exécutables / programmes - les cracks (source première d'infection) et autres fichiers téléchargés par P2P ou torrents Tu ne conserves que les fichiers perso (.doc et autres de suites bureautiques, photos, clips perso...). Tu dois formater en effaçant la partition système pour ensuite réinstaller Windows. Dès réinstallation, il faut mettre un antivirus performant (AntiVir par exemple, mais pas Avast!). Ne pas remettre de sauvegardes de programmes ou tout autre fichier exécutable ; les programmes doivent être remis via les disques d'origine ou à via des sites fiables. Pour Realtek, tu devras télécharger les pilotes à partir de la machine propre, pas avant. Pas jojo, mais Virut est sans pitié.. Si questions, je repasserai @+

Salut tof06 ; Je passais par là. Bien joué J'aurais dû te poster la manip pour explorer dans mon post initial, alors désolé pour le contre-temps. Ton rapport de ComboFix nous montre qu'il y a possiblement un problème au niveau de la base de registre et il faut en discuter avec un collègue avant de poursuivre. On te donne la suite dès que possible. À bientôt

Bonsoir pinok ; désolé pour le petit délai de réponse. Je vais t'expliquer brièvement ce qu'est "Virut", pour te permettre de mieux comprendre ce qui t'arrive actuellement, et ce que tu dois faire pour t'en débarrasser. Virut est le nom que la majorité des éditeurs d'antivirus ont donné à cette famille de virus (c'est un virus, pas un cheval de troie ou autre). Par définition, un virus se distingue des autres types d'infections par sa capacité de se reproduire et de se propager ; seul un virus peut se reproduire. De nos jours, les virus sont plus rares qu'il y a 5 ans et +, simplement parce qu'ils ne sont pas nécessairement de bons générateurs de fric. Le monde des infections, aujourd'hui, est centré sur le fric (crime organisé), donc une infection dite efficace ne détruira pas, mais va plutôt permettre l'action souhaitée par son acheteur ; l'auteur fait le code/programme/virus et le vend au plus offrant qui, lui, s'en servira pour générer des revenus (pubs, détournements, fausses alertes qui incitent à acheter de faux logiciels de nettoyages, etc...). L'utilité d'un vrai virus dans ce domaine ? : la propagation. Mais nous n'en voyons pas beaucoup car des trojans sont plus simples à coder et peuvent être très efficaces aussi. Il y a maintenant des rootkits, mais là je vais m'abstenir (très complexe). Virut est un virus destructeur. Il cible tous les fichiers exécutables sur une machine en les infectant ; les nouvelles variantes ciblent aussi d'autres types de fichiers (voir les fichiers mentionnés dans mon post précédent). En infectant les fichiers exécutables, il permet à la machine de fonctionner mais réagira violemment si tentative de le déloger. Problème : on ne peut pas le supprimer car il est présent dans les fichiers exécutables du système (Windows), donc il faudrait le "réparer" (désinfecter). Le code de Virut est imprévisible, non constant et parfois "mauvais" donc les antivirus n'arrivent pas à le cibler parfaitement. Résultat : certains antivirus arrivent à réparer des fichiers mais pas tous, alors que d'autres antivirus suppriment les fichiers détectés sans tenter de réparation (catastrophe, il y a des fichiers du système !). Et Virut se propage rapidement, de façon très virulente, donc le(s) disque(s) sont rapidement infectés de A à Z. Jusqu'à tout récemment, les virus de ce type étaient rares et peu répandus. Aujourd'hui, il y en a un peu partout et la tendance n'est pas à la baisse, côté incidence. Malheureusement, Virut n'arrive pas seul ; il a des copains (trojans et rootkits) qui ont le boulot de générer du fric. Ça se fait via des portes dérobés et autres astuces. Virut est le garde du corps : essaie de le déloger/réparer et tu te retrouves avec une machine qui ne démarre plus, tout simplement, car les outils sont incapables de faire le job de nettoyage à 100% et plusieurs antivirus vont supprimer des fichiers nécessaires au fonctionnement de Windows. Certaines machines ont été désinfectées, mais Virut reste car les outils ne voient pas tout, et ça recommence. Si un seul fichier exécutable infecté demeure, son lancement subséquent infectera la machine de façon très rapide. Les outils et antivirus ne sont pas épargnés (des .exe eux aussi..). Formatage obligatoire, car il faut enlever tout ce que Virut a pu toucher. Il installe aussi une porte dérobée qui permet le contrôle à distance de ta machine. Tes disques : les deux sont atteints et doivent être formatés. Tu peux faire des sauvegardes de fichiers (voir mon post à ce sujet), mais les lecteurs doivent être vidés. Tu as téléchargé des programmes via des sites fiables (PC-Astuces par exemple) : ces programmes n'étaient sûrement pas infectés au départ, car Virut se retrouve principalement sur les sites de cracks (ou se chope aussi via le peer-to-peer). N'oublie pas qu'un seul fichier infecté est suffisant, car il se reproduit et se propage rapidement. S'il se réinstalle, il fait entrer ses amis à nouveau, même si tout avait été nettoyé (presque tout). Il est donc difficile d'analyser tes fichiers à partir de la machine infectée, car tout programme utilisé sera lui aussi infecté. Il y a une ou deux exceptions à cette règle, mais ça demeure dans le domaine de l'incertain. Il existe un autre moyen d'analyser tes fichiers, mais ça se fera un à un et tu dois compter environ 2 minutes par fichier : http://www.virustotal.com/fr/ http://virscan.org/ >> Tu vas sur l'un ou l'autre de ces sites ; clique sur "Parcourir..." et sélectionne le fichier sur ta machine (ou sur lecteur externe branché), puis clique "Envoyer" pour démarrer l'analyse. Le fichier est analysé par plus de trente moteurs antivirus connus et à jour. Virut ne peut pas perturber ces analyses en ligne, donc les résultats sont fiables. Il peut y avoir des faux positifs par contre, donc prudence, à moins que 30 moteurs te disent que le fichier est infecté >> c'est sûrement vrai. Dans le cas de Virut : une seule détection peut suffire à confirmer. Dans le doute, demande ===== ===== Si AntiVir aboie sur FoxIt, c'est bien parce qu'il est infecté. Pas de la source, mais probablement lorsqu'il a été en contact avec Virut sur ta machine. N'utilise plus cet installateur et supprime-le. Tel que dit plus haut, tous les programmes, fichiers .exe et .scr sur les disques H: et D: sont infectés Je te cite : Un seul crack infecté est suffisant pour détruire la machine. Certains ne téléchargerons qu'un seul crack dans leur vie et ce sera un fichier infecté par Virut ; la leçon tirée de l'expérience pourra les convaincre de ne pas récidiver

Salut avilug ; C'est propre en effet. Juste pour sécuriser et optimiser un brin, je te suggère de mettre ta machine Java à jour. Un petit programme peut faire le boulot pour toi : ============ Télécharge JavaRa.zip de Paul McLain et Fred de Vries. Décompresse le fichier sur ton bureau (clic droit > Extraire tout) Double-clique sur le répertoire JavaRa obtenu Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Select. Clique sur Search For Updates Sélectionne Update Using jucheck.exe puis clique sur Search Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log) Ferme l'application On regardera le rapport juste pour confirmer que tout est Oké. @+

Salut pinok1 ; Ton DD principal est le D: ou le H: ? Si tu regardes bien le rapport de Kaspersky, les deux ont Windows et les deux sont profondément infectés par Virut... Il te faut donc formater ces deux disques. Je ne sais pas si Virut croise d'un disque à l'autre juste comme ça, mais le moindre échange de fichier entre les deux et là... boum. Pour ton DD externe : tout dépend de ce que tu as mis dessus, et quand, par rapport à l'infection originale. Je peux par contre te suggérer ceci : formate les disques durs, réinstalle Windows sur un disque et ensuite installe rapidement AntiVir. Lorsque ce sera fait, tu pourrais brancher le DD externe et surveiller pour d'éventuelles alertes d'AntiVir. Si ce dernier n'aboie pas, possible que les fichiers soient Ok.

Bonsoir pinok1 ; Bon, ben il faudra formater à nouveau. Cependant, tu dois le faire avec grands soins quant aux sauvegardes que tu remets sur la machine après installation de Windows, car tu te réinfectes à chaque coup. Toutes les traces de Virut doivent être enlevées, sinon ça recommencera. Voici les incontournables : - Tu dois absolument formater la partition système et non "réparer" - Si tu as d'autres partitions sur le DD, elles devront être formatées aussi (après sauvegardes). - Tout lecteur externe doit aussi être vidé/formaté. Pour les sauvegardes maintenant : - Tu peux conserver les fichiers de suites bureautiques (Office / Open Office) et autres documents texte. - Tu peux conserver les photos, images, clips, musique, mais rien de téléchargé via P2P ** Tu dois absolument éviter de sauvegarder les fichier suivants : - .exe - .scr - programmes (tu dois repartir à neuf après réinstallation) - archives .zip et .rar - .asp - .php - aucuns fichiers téléchargés (par P2P ou autre) Pour clarifier : Virut infecte tous les fichiers avec extensions mentionnées ci-haut. Cela inclus les installateurs de programmes (celui d'AntiVir par exemple...), donc après réinstallation de Windows, il ne faut surtout pas remettre des programmes via des installateurs sauvegardés ; il faut les remettre par les disques d'origine ou bien les retélécharger depuis la machine propre (via des sites sûrs et légitimes). Les sites de cracks sont à éviter comme la peste... ============= Virut est sans pitié et sans remède, sauf le formatage. Mais ça je pense que tu le savais déjà (intuitivement). Si questions, pas de gêne @+

Je déplace le sujet vers le forum de désinfection. @+