Mark

Ce n'est pas si simple que ça, malheureusement... Il n'a jamais formaté ? Toi non plus ? Ce n'est déjà pas évident de guider quelqu'un à formater, via un forum, et ce l'est encore moins par une personne interposée (toi, en l'occurence). C'est XP ou Vista ? A-t-il un CD (ou DVD) original Windows ou bien un CD de restauration (d'usine ou gravé lui-même) ? Y-a-t-il une partition de recouvrement sur le PC (si PC d'usine) ? Son Windows est-il légitime ? (c'est-à-dire pas une copie piratée/crackée...) Autre question importante : le PC ne démarre plus du tout ? Bloqué ? Écran noir ? @+

Ah je vois. Merci pour les détails. Bon il faut comprendre que ton copain peut formater, car cela se fait avec le CD de Windows de toute façon. Et si Windows ne se charge plus en ce moment, sur sa machine, alors le formatage est sans doute la meilleure solution. Par contre s'il peut démarrer (en Mode Sans Échec par exemple), on peut possiblement nettoyer, sur le forum. Si le formatage est inévitable, voici quelques points forts importants : - Si des sauvegardes sont faites, il ne faut pas conserver les cracks, les fichiers P2P, les archives .zip/.rar, les programmes et fichiers .exe On garde juste l'essentiel, c'est-à-dire les données perso, photos, etc... créés par l'utilisateur et non téléchargés. - Plusieurs infections "modernes" s'installent sur les lecteurs amovibles (clés USB, cartes mémoire, DD externes, etc...) avec routines de propagation automatique : cela signifie que si ta clé USB est infectée, puis tu formates, puis tu rebranches ta clé infectée sans protections adéquates sur la machine = réinfection immédiate - "Formater" signifie supprimer la partition où le système est installé, puis réinstaller Windows sur une partition toute neuve/vide. Plusieurs confondent avec une "réparation" de Windows, qui ressemble beaucoup à une réinstallation complète ; la réparation ne fait que remettre des fichiers système neufs et laisse toutes les données et tous les programmes intactes. À ne pas faire si des fichiers infectés se retrouvent toujours sur la machine, à moins que la personne soit habile et souhaite ardemment réparer + désinfecter par la suite. Donc oui un formatage complet sans sauvegardes de fichiers infectés permettra d'éliminer 99,9% des risques

Bonsoir dragonnette Une réponse pas trop simple à ta question : souvent oui, parfois non. Ça dépend du virus et de ce qu'il a contaminé sur la machine, mais ça dépend aussi de la technique du "formatage" en question. Tu vois, un formatage pourra éliminer la plupart des infections lorsque fait selon les règles, c'est-à-dire sauvegarde des données seulement puis suppression de la partition système, suivi d'une réinstallation de Windows et des sauvegardes non contaminées. Certains "virus" peuvent se retrouver dans des programmes crackés ou fichiers téléchargés par P2P que certains ne veulent pas virer (surtout pas... les cracks chéris...) ; si tu formates et réinstalles ces trucs : pouff, c'est reparti. Mais ma question est la suivante : pourquoi formater tout de suite ? Quelle est cette infection si horrible et comment se comporte la machine ? À te lire

Bon d'accord. Un site de cracks piégé, fort probablement. Là c'est difficile de savoir comment ton système a réagi. J'ose espérer que tu as appris quelque chose de cette petite aventure. Autre chose bonne à savoir, pour toi : la majorité de nos outils de désinfection tournent mal ou ne tournent pas sous 64 bits. Pas pour l'instant en tout cas. Si tu chopes un truc qui s'installe bien, tu risques d'être pris avec, si ton antivirus est incapable de le virer. Pour Windows Defender : il semble que ce problème survienne lorsqu'un Service de Windows est touché/désactivé ; faudra creuser ça un brin. Pour MSN, je n'ai pas encore cherché, mais il est possible que ce soit lié. As-tu un message d'erreur précis pour MSN ? @+

Alors rebonsoir à vous deux ; Elibagla a reniflé un seul fichier, que je ne connais pas, mais qui se trouvait déjà dans la Corbeille. Selon ce que je sais à propos des rootkits sous 64 bits (et ce n'est pas beaucoup), Bagle n'a pas de prise. De toute façon, les symptômes ne suggèrent pas Bagle ; HijackThis aurait été injecté, AntiVir aussi. tony01 : je ne sais pas pourquoi MSN ne se lance pas. Même chose pour Windows Defender. Peux-tu nous dire ce que tu as fait ou téléchargé récemment ? Cracks ? À la limite, nous pourrions tenter une Restauration. On verra...

Non-non, regarde plutôt ta BAL Ça concerne les systèmes 64 bits. @+

Bonsoir Apollo et tony01 ; Tony : prière d'attendre quelques instants alors que je regarde ça avec Apollo. Merci **Ne lance surtout pas ComboFix tout de suite, sur un Vista 64 bits. @tout de suite

Salut jps.forum pear n'est pas en ligne en ce moment mais toi si, alors je vais te demander un truc tout simple, pour faire avancer le schmil : MBAM a détecté deux fichiers néfastes mais ton rapport semble "coupé" exactement là où il ne le fallait pas. Pourrais-tu le reposter en entier s.t.p. ? Merci à l'avance.. (si tu ne le trouve pas : lance l'outil puis choisis l'onglet "Logs / Rapports" >> double-clique sur le rapport).

Très bien, et merci Maintenant je vais te demander de soumettre des fichiers pour analyse, en deux temps : ========== *Désactive ton antivirus temporairement, car il va aboyer lors des prochaines manipulations. Réactive-le dès que tu auras terminé* 1) Ouvre ce fichier créé par ComboFix précédemment >> C:\CF-Submit.htm (double-clique dessus et une page IE s'ouvrira - voir la capture ci-bas en exemple) 1- Sélectionne tout le chemin de fichier situé à droite de "File path --->" Fais un clic droit dessus et choisis "Copier" 2- Place ton curseur de souris dans la boîte au-dessus, clic droit >> "Coller" 3- Clique sur "Send" afin de soumettre les fichiers. Merci ~~~~~~~~~~~~~~~~~~~ 2) Navigue vers le répertoire suivant : C:\Qoobox - Fais un clic droit dessus et choisis "Envoyer vers" > "Dossier compressé" - Si Windows te lance une invite à propos du type de compression, bla-bla... clique "Oui" - L'archive "Qoobox.zip" sera créée (donc C:\Qoobox.zip), qui sera assez volumineuse vu la quantité et la taille des fichiers qui y sont stockés. - Rends-toi sur Senduit, qui est un hébergeur de fichier (gratuit) : http://www.senduit.com/ >> Clique sur "Parcourir...", recherche puis sélectionne le fichier C:\Qoobox.zip - Clique maintenant sur "Upload" - Cela risque de prendre quelques minutes. - Lorsque terminé, un lien te sera fourni. Ne le colle pas sur le forum, car je ne veux pas que des fichiers infectieux soient mis à la disposition de gens non formés à leur manipulation. - Clique sur mon pseudo (au-dessus de mon avatar) et ensuite sur "Envoyer un message", afin de me refiler le lien vers le fichier, par messagerie perso. Merci à nouveau Tout ceci nous permettra d'identifier l'intrus. La machine va toujours bien ? @++

Bon Samedi Pour le paramétage d'AntiVir, j'ai vérifié chez moi et j'ai trouvé : Il faut laisser en "Standard" (coché par défaut), sinon en "Intégral" le rapport détaille tous les fichiers de l'ordi. J'ai retiré le lien vers ton fichier non pas parce qu'il y avait des fichiers louches sur ta machine, mais bien parce que le rapport montre tout-tout et que je ne souhaite pas laisser de telles informations à la portée de tous les lecteurs car 1) ce n'est vraiment pas nécessaire, et 2) ce ne serait pas éthique de ma part d'exiger ni d'afficher des rapports qui pourraient rendre les membres/visiteurs inquiets quant à la confidentialité de leurs données. Voilà.. Je repasserai plus tard en journée.

Merci ; bien reçu J'ai retiré le lien vers ton fichier. La taille du fichier est dûe au paramétrage de l'antivirus, qui nous montre tout-tout. Pas de bestioles détectées, donc je préfère retirer le lien car le rapport nous montre beaucoup... Je vais donner le lien à pear via messagerie afin qu'il puisse constater de lui-même, mais la diffusion s'arrête là, de mon côté. Comment se comporte la bécane ? Et comment s'est déroulée la désinstallation de McAfee ?? Je serai absent pour plusieurs heures... @++

Oké petit problème : ton rapport de ComboFix n'est pas le bon, Il s'agit du même rapport que tu as posté précédemment. As-tu fait la manip de mon post précédent (le CFScript, au post #8 ?). Si Oui, alors le rapport sera bien à >> C:\ComboFix.txt Pour VirScan : les analyses se sont bien déroulées et les moteurs n'ont rien trouvé d'infectieux, c'est bien ça ? Je vais attendre le rapport de ComboFix avant de poursuivre ; c'est important. @+

Désolé pour le flood, mais j'ai préféré poster à nouveau plutôt que d'éditer mon post précédent. Une question pour toi : as-tu connaissance qu'il pourrait y avoir un truc de surveillance sur ce PC ? Si je pose la question, c'est simplement parce que le contenu du répertoire "c:\windows\system32\f" m'interpèle... Il y a de gros fichiers, incluant des JPEG. On dirait un keylogger / prog de surveillance. Il se peut que ce soit un keylogger "malicieux", c'est-à-dire installé via une infection, ou bien ça pourrait être un prog plus ou moins légitime, destiné à surveiller le PC. Ceci n'est qu'une hypothèse, pour le moment.. Un programme de ce genre pourrait causer de gros dysfonctionnements sur une machine, pas de doute là-dessus. Ça te parle ?

Elle est bien étrange cette bestiole, en effet. Là elle n'y est plus alors nous pouvons en tirer des conclusions Pour ton spooleur, on verra dans une prochaine étape ; c'est étrange par contre, mais tout est étrange avec cette infection il me semble. Je te laisse bosser @+

Bien joué à nouveau Je ne sais pas si c'est l'infection qui cause ces soucis avec ta machine, mais là elle est quasi détruite alors on va terminer le travail. Pour ce qui est du fichier créé pour soumettre les fichiers, on s'en reparle à la prochaine étape ; =========== **Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): KillAll:: Folder:: c:\windows\system32\f c:\windows\system32\bycool1 c:\windows\system32\bycool *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Désactive ton antivirus temporairement (réactive-le lorsque ComboFix aura terminé). Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : ceci est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : tu peux le fermer pour le moment, je te le demanderai plus tard. ====== ====== Je vais maintenant te faire analyser deux fichiers chez VirScan. C'est simple : - Rends-toi sur leur site (avec Internet Explorer) : http://virscan.org/ - "Copie" le chemin de fichier ci-bas (en entier) puis colle-le dans la petite boîte "Fichiers suspects à examiner" : C:\Qoobox\Quarantine\c\windows\system32\bycool\winacces.exe.vir - Clique maintenant sur le bouton "Envoyer". Le fichier sera analysé par plusieurs moteurs antivirus. Tu verras la progression à l'écran. Lorsque l'analyse sera terminée, copie/colle les résultats dans ta réponse. - Avant de soumettre ta réponse ici, fais également analyser le fichier suivant (même méthode) : C:\Qoobox\Quarantine\c\windows\system32\bycool1\windo.exe.vir - Colle les résultats à la suite. - Colle également le rapport de ComboFix, sauvegardé là >> C:\ComboFix.txt @toute

Bonsoir à vous deux Un rapport de cette taille évoque la possibilité d'un infecteur de fichiers exécutables... mc19 : nous aimerions bien consulter ce rapport. Une façon toute simple de nous le faire parvenir : - Va sur le site de Senduit (site d'upload de fichiers gratuit) : http://www.senduit.com/ - Clique "Parcourir..." et ensuite recherche puis sélectionne le rapport d'AntiVir (sauvegarde-le sur le Bureau afin de le retrouver aisément..) - Clique ensuite sur le bouton "Upload". Ça peut prendre un certain temps, vu la taille du fichier, alors Merci à l'avance pour ta patience - Lorsque l'upload sera terminé, un lien te sera fourni. Colle le lien ici, dans ta réponse. On regardera tout ça. @++

Étrange. Non, pas normal. La première chose à tenter est de fermer la fenêtre en cliquant sur le "X". Deuxième chose à tenter : lance le Gestionnaire des tâches (si tu peux) par CTRL+ALT+SUPP et arrête le processus de ComboFix. Si rien de tout ça n'est possible, arrête la machine avec le gros bouton, puis redémarre. Après redémarrage, regarde si un rapport a été sauvegardé (C:\ComboFix.txt) s'il te plaît. On poursuivra selon tes trouvailles. @+

Quand tu dis "avant", c'était juste avant d'être infecté ? Sinon une visite sur le forum Software est une excellente idée..

Salut Pas de soucis pour ces détections d'AntiVir : IEDFix est un module de SmitfraudFix que certains antivirus n'aiment pas (faux positif). L'autre (Acrobat) est une archive qui ne sert à rien et AntiVir ne peut en extraire quoique ce soit, donc il la ferme. Pour ce qui est de IE et de sa consommation : je n'ai jamais vérifié car j'utilise FireFox ici, mais je sais qu'il est gourmand en mémoire donc avec 8-10 pages ouvertes, pas étonnant (je crois) qu'il te bouffe toutes ces ressources. Rien d'inquiétant, à priori. Tu as 2 Gigas de RAM ; ça devrait suffire à la tâche ...et y a pas de quoi @+

Bonsoir mag007 Bien joué. Voici la suite maintenant : ============== **Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): http://forum.zebulon.fr/help-analyse-hijack-t157676.html Collect:: C:\Windows\System32\bycool1\windo.exe C:\Windows\System32\bycool\winacces.exe File:: H:\log.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DRIVESYS1"=- "DRIVESYS"="- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a66c162-dcac-11dd-bd96-4d6564696130}] DirLook:: c:\windows\system32\f c:\windows\system32\bycool1 c:\windows\system32\bycool *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) **Branche ton DD externe à présent, ainsi que toutes clés USB utilisées ou autres lecteurs amovibles** Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. En toute fin de routine, ComboFix affichera une fenêtre avec le message suivant : "ComboFix needs to submit malware files for further analysis. Please ensure that you're connected to the internet before clicking OK" Clique OK pour soumettre les fichiers (et Merci). Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+

Salut mag007 Ton ordi est bel et bien infecté. De plus, il s'agit d'une infection plutôt rare, enfin jusqu'à maintenant il y a très peu de cas sur la toile. Télécharge Combofix.exe de sUBs de l'un des trois liens suivants, puis sauvegarde-le sur ton Bureau (et pas ailleurs) : http://subs.geekstogo.com/ComboFix.exe http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe Assure-toi que tous les programmes sont fermés avant de commencer. Désactive ton antivirus et pare-feu tierce partie (si présent), juste pour le temps de l'analyse. Double-clique sur Combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final. Le Bureau disparaîtra, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt @+

Sujets combinés. Merci aux deux intervenants @++

C'est tout bon maintenant Pour Java : là je vais supposer un truc... Étant donné que tu n'avais qu'une vieille version sur ta machine (version 4.2 ou 1.4.2 selon Java), son module jucheck doit être différent de celui des versions 5 et 6, ce qui fait que JavaRa n'a pu faire sa routine. Pas grave... A-t-il désinstallé l'ancienne version ? Si non, va dans le Panneau de config >> Ajout et Suppressions des programmes, puis désinstalle/supprime ceci : Java 2 Runtime Environment, SE v1.4.2_05 Quitte le Panneau de config lorsque terminé. Ensuite, télécharge la nouvelle version du lien suivant : http://www.java.com/fr/download/manual.jsp - Choisis le second lien pour Windows (installation hors ligne). - Lance le fichier et suis les invites. - On t'offrira le choix d'installer Open Office ; ton choix (il s'agit d'une suite bureautique gratuite, du style MS Office) - Si on t'offre d'installer une toolbar, refuse. Ce choix ne sera offert que si tu regardes de près le contrat de licence. Si tu ne lis pas le contrat de licence, pas de toolbar offerte (parfait comme ça, il ne la force pas..). =============== Maintenant que le nettoyage est terminé, on dégage un brin : - Clique sur "Démarrer" >> "Exécuter..." et copie/colle la ligne suivante dans la boîte, puis clique "Ok" : ComboFix /u >> Ceci désinstallera ComboFix et ses modules. De plus, un nouveau point de Restau sera créé et les anciens seront supprimés. Tu peux également supprimer JavaRa et RSIT. Malwarebytes' Anti-Malware quant à lui, pourrait te servir même en version gratuite ; tu fais les mises à jour manuellement (onglet "Mise à jour"), puis tu lances une analyse périodiquement. Il est de loin supérieur à ses rivaux en ce moment. Questions ? Commentaires ? Pas de gêne. @++

Bonsoir rossi_kawa, et merci pour ce rapport Pas de soucis pour AntiVir ; la majorité des antivirus aboient lorsque ComboFix est en action, simplement parce qu'il contient des modules jugés "louches" selon eux ; mais il n'y a rien à craindre. Tu pourras faire une analyse complète avec AntiVir lorsque nous auront terminé - et nettoyé les restants (outils compris). On va dégager ces points de chargements nocifs. J'en profite aussi pour enlever un reste de Kaspersky 5, qui n'est plus sur ta machine : ================== **Le script prescrit ci-bas a été préparé pour la machine de rossi_kawa seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ad5cec0-352f-11db-8f8d-000e35a7e8d4}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffe20c32-5b4f-11dd-92d8-000e35a7e8d4}] Driver:: ids00026 *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: tu peux le fermer pour l'instant car il est sauvegardé automatiquement, mais je vais te le demander après la fin des manip. Le rapport est sauvegardé là > C:\ComboFix.txt ------------------ On va mettre ta machine Java à jour ; la version qui tourne sur ton ordi actuellement est très ancienne et contient plusieurs failles de sécurité : Télécharge JavaRa.zip de Paul McLain et Fred de Vries. Décompresse le fichier sur ton bureau (clic droit > Extraire tout) Double-clique sur le répertoire JavaRa obtenu Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Select. Clique sur Search For Updates Sélectionne Update Using jucheck.exe puis clique sur Search Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log) Ferme l'application --------- --------- Tu peux maitenant poster les rapports de JavaRa + celui de ComboFix, dans ta réponse. @toute

Merci pour ce rapport ComboFix a détecté et supprimé deux fichiers qui sont des faux positifs. sUBs nous a avisé hier et il avait déjà rectifié avec une nouvelle version. Tu as fait tourner la version affectée (pas de ta faute) alors on va corriger ça tout de suite et remettre les fichiers au bon endroit. Comme ceci : ============== **Le script prescrit ci-bas a été préparé pour la machine de mc19 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): DeQuarantine:: C:\Qoobox\Quarantine\c\windows\system32\msrdo20.dll.vir C:\Qoobox\Quarantine\c\windows\system32\rdocurs.dll.vir Quit:: *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta réponse (DeQuarantine_log.txt). Dis-moi également si la machine va mieux depuis ton dernier post. Si tu n'as pas tenté un scan AntiVir en mode Sans Échec, tu pourrais le faire si ça bloque toujours. Colle le rapport d'AntiVir ici également, si tu y arrives. Sinon on regardera ça de plus près. @++