Mark

Rebonsoir Si le fichier n'est pas là, l'outil n'a pas tourné. Pour ce qui est de ta clé USB, je suis désolé mais il y a bien eu infection qui l'a contaminée à un certain moment ; cela dit, elle est peut-être "propre" maintenant, mais il reste des points de chargements (dans le registre) sur ta machine qui pourraient relancer l'infection et la propager, si le nettoyage n'a pas été complet. Vu l'utilisation que tu fais de cette clé, il ne faut prendre aucun risque... De plus, une clé USB qui est utilisée dans de telles conditions ne devraient jamais être branchée sur une machine perso "à risque" ; je vois eMule et BitTorrent là, ce qui place la machine à haut risque de facto.. Je ne connais pas les règles internes de la société en question, mais fais gaffe à l'avenir. Il ne faut pas oublier que plusieurs infections qui entrent sur un PC infectent automatiquement les supports amovibles qui y sont branchés, et ça à n'importe quel moment alors que l'infection est active. Cette clé infectée, via l'Autorun présent dessus, infectera toute machine à laquelle elle sera branchée, si les protections sont inefficaces. Un vrai fléau, une menace réelle et très coûteuse à l'industrie, globalement. ============= Je te fais lancer ComboFix. Assure-toi de brancher ta clé USB avant de débuter ; Je te laisse les directives habituelles, au complet. Si l'outil est déjà sur ton Bureau, utilise celui-là et permet à l'outil de télécharger la version à jour, si demandé : Télécharge Combofix.exe de sUBs et sauvegarde le sur ton Bureau (et pas ailleurs). Assure-toi que tous les programmes sont fermés avant de commencer. Double-clique sur Combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le Bureau disparaîtra, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt @+

Bonsoir à toi ; Ne t'en fais pas pour les disponibilités car j'en ai probablement moins que toi Bon Oké je constate que tu as utilisé ComboFix, mais tu n'as pas posté son rapport ; je vais te le demander et il se situe là >> C:\ComboFix.txt (copie/colle son contenu ici s.t.p) Tu as lancé un ou des supports amovibles infectés sur ta machine (clé USB ou carte mémoire ou DD externe par exemple..). Il n'y a pas d'infections actives, mais nous devrons faire un petit ménage malgré tout, pour prévenir. J'attends le rapport de ComboFix. @toute

Rebonsoir rossi_kawa, Xeti, tout le monde ; Juste pour recadrer tout ça un brin : Je pense que Xeti voulait bien faire. Le problème, c'est qu'avec seulement un nom de malware, il est impossible de suivre tel ou tel tuto sans mieux connaître les infections, les signes, les symptômes... Si un tuto propose un bazooka alors que la bestiole est inactive ou seulement détectée sur un point de Restau ou clé de registre orpheline, c'est pas Top, et on risque pour rien. La lutte est de plus en plus complexe. Cela dit, Malwarebytes' Anti-Malware est excellent contre Vundo, d'habitude. Là il ne voit rien, ce qui est encourageant et probablement suffisant pour exclure l'infection (active). Mais on n'en restera pas là. Un petit outil d'analyse seulement, pour faire le tour du propriétaire : =============== Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) Si tu as passé un autre outil, poste son rapport également (on va tout de même regarder - pas de gaspillage ) @toute

Content de te lire Gérard Pas de soucis, tu expliques mieux que moi @+

Bonsoir à vous deux ; Un petit instant Xeti... trop d'outils, trop de risques ! C'est du Karcher tout ça. SDFix inutile, tout comme ComboFix, pour l'instant. Étape par étape. Ici, l'Équipe Sécurité voit aux désinfections. =================== rossi_kawa ; Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. >> Mode Normal suffisant et même préférable, pour cet outil. @+

Ça va pas trop mal, merci 1) Pour désinstaller McAfee, j'ai trouvé cet article : http://kb.kaspersky.fr/index.php?article=1264&onglet=1 Solution B pour ta machine, et tu devras passer le second outil spécifié au bas également (MCPR.exe) ----------- 2) Pour ce qui est des lignes de script que je te propose : la première remet les permissions sur une clé qui a été altérée par une infection (qui touche explorer). La seconde retire un "embedded null" (caractère nul incrusté) dans cette clé de registre, qui n'a pas sa place. Tout ceci a été vérifié avant de te le proposer. La dernière ligne te remettra les alertes du Centre de Sécurité lorsque ton antivirus est désactivé ; si tu n'aimes pas, tu peux aisément le désactiver par la suite (pas conseillé par contre..). Étant donné que Bagle fout le bordel dans le Centre de Sécurité, je préfère remettre les réglages par défaut. Voilou, voilà

Bonjour mc19 ; Ça va ? Je t'ai vu passer par ici, hier. Si questions ou problèmes, te gêne pas pour demander Je viens tout juste d'éditer mon lien pour AntiVir, dans mon post précédent, qui n'était pas bon. Là c'est Oké. @++

Bonsoir mc19 Désolé pour le délai.. Après enquête et consultation, il s'avère que ton cas n'est pas lié au problème que j'ai évoqué plus tôt. Cela dit, il s'est passé plusieurs choses sur ta machine depuis le début de Décembre. Non seulement tu avais déjà fait beaucoup de ménage avant de poster ici (plusieurs analyses avec MBAM et 3 avec ComboFix - ce qui est dangereux, sans supervision...), mais il y avait des infections sévères. Il y a eu réinfections aussi, dont la toute dernière détectée par ComboFix, avec rootkit. L'infection Bagle, chopée via cracks invariablement, détruit les protections (antivirus et pare-feu), donc tu n'es pas protégé depuis plus d'un mois. Avec la multitude de programmes P2P présents sur ta machine, les cracks, etc..., toutes les conditions sont réunies pour infecter et, ultimement, endommager ta machine. Nous allons donc terminer le nettoyage et te remettre des protections saines. Pour le reste, ce sera à toi de voir si un changement de comportement s'impose ; pour moi il est clair que oui, sinon tu te retrouveras infecté continuellement et pris avec un ordi dont les performances se détérioreront rapidement. On ne peut faire de miracles dans de telles situations, sur les forums d'aide ; Windows a ses limites et nous aussi.. À l'attaque : =================== Supprime à nouveau l'outil ComboFix.exe qui se trouve son ton Bureau. Télécharge une nouvelle copie de l'un des trois liens fournis dans mon post précédent, sauvegarde-le sur le Bureau mais ne lance pas l'outil. **Le script prescrit ci-bas a été préparé pour la machine de mc19 seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): RegLock:: [HKEY_USERS\S-1-5-21-833895085-3817894822-2203134068-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] RegNull:: [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ABCD*] Registry : [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000000 *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: ceci est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : je te le demanderai plus tard donc tu peux fermer le fichier, qui de toute façon est sauvegardé automatiquement (C:\ComboFix.txt). ------------ ------------ Maintenant, tu dois désinstaller la suite McAfee qui a été détruite par Bagle ; va dans le Panneau de Configuration > Ajout et suppressions de programmes, et désinstalle/supprime McAfee SecurityCenter (s'il ya d'autres entrées pour McAfee, désinstalle/supprime tout). Ensuite, il faut te mettre un nouvel antivirus - rapidement. Je te conseille fortement AntiVir (en version gratuite), qui est léger et performant ; plus performant que McAfee très certainement. Je te laisse le lien direct vers la version française : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Installe-le ; il fera ses mises à jour puis proposera une analyse complète. Fais l'analyse et, si détections, applique les réglages suivants : Poste le rapport d'AntiVir ici dans ta réponse. Colle également le rapport de ComboFix (C:\ComboFix.txt) Il restera un peu de ménage à faire pour terminer. @+

Un nouveau joueur démasqué... Je vais devoir consulter un collègue pour la suite. J'aimerais cependant que tu me dises s'il y a un changement notable, suite au dernier lancement de ComboFix ; le démarrage est-il toujours extrêment lent ou plus lent qu'à la normale ? Y-a-t-il d'autres symptômes ? Merci à l'avance. @+

Bonsoir Merci beaucoup pour ces rapports. Alors oui, l'hypothèse peut s'avérer vraie dans ton cas, selon ce que je vois. Voici la prochaine étape, toute simple, et on verra ensuite : - Supprime ComboFix.exe, qui devrait être sur ton Bureau. - Télécharge et lance une copie toute fraîche, que tu trouveras sur l'un des trois liens suivants : http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe Poste le rapport généré dans ta réponse, s'il te plaît. @+ Édit/ajout : je dois quitter pour quelques heures...

Bonjour mc19 ; L'information au sujet de ces infections est très restreinte. Ce que je peux te dire : le résultat est le même, peu importe l'outil utilisé pour la neutraliser. Il y a modification au niveau du système qui provoque ces symptômes. Je ne peux pas te dire avec certitude si ton cas est lié. On verra avec les rapports et ensuite on pourra tenter quelque chose, selon les trouvailles. Voilà @+

Bonjour pear, mc19 Désolé pour l'intrusion. Si je le fais, c'est simplement suite à une lecture très intéressante que j'ai faite, hier, au sujet d'une infection toute particulière qui peut donner ce genre de problème au démarrage. L'infection (deux variantes) a circulé pendant une courte durée, en Décembre. mc19 : lorsque tu as posté pour la première fois (le 11 Décembre), il y avait Malwarebytes's Anti-Malware qui apparaîssait dans ton rapport HijackThis. J'aimerais que tu nous dises si les problèmes ont débuté suite au lancement de cet outil. Petite note importante : l'outil n'est pas en cause, directement, mais il faut que je sache. Ensuite, je vais te demander de poster le ou les rapports de Malwarebytes' Anti-Malware qui sont sauvegardés, créés avant et jusqu'au 11 Décembre. Voici comment les retrouver : - Lance Malwarebytes' Anti-Malware en double-cliquant sur l'icône de l'outil. Ne fais pas d'analyse cependant. - Choisis l'onglet "Rapports/Logs" (centre-haut) - Tu verras une liste de rapports ; exemple : mbam-log2008-12-11(22-30-18) - En rouge, c'est la date de l'analyse ; - Copie/colle le contenu du ou des rapports du 11 Décembre et avant (si présents) dans ta prochaine réponse. (pour ouvrir les rapports, tu n'as qu'à double-cliquer dessus et le fichier texte apparaîtra) @+

Salut bibs, Pear et no.ppp ; J'interviens seulement parce que nous sommes le 24 et que les helpers sont pris... bibs, voici la suite : Tu vas installer et passer ComboFix (renommé lors du téléchargement - il doit être renommé avant de cliquer "Enregistrer") et tu le passes tel que prescrit ci-haut. N'oublie pas de brancher tout lecteur amovible que tu utilises (clés USB, disque dur externe, cartes mémoires, etc...). ComboFix trouvera le processus infecté qui peut relancer Bagle à tout moment. Si FindyKill refusait de se lancer en option #2, tu as peut-être un autre rootkit qui le bloque. Tu posteras le rapport généré par ComboFix ici, mais pas tout de suite donc tu peux fermer le fichier texte qui apparaîtra à la toute fin. Le fichier est automatiquement sauvegardé donc pas de soucis. Ensuite, tu passes FindyKill option #2 : ceci te remettra ta connexion Wi-Fi. Le rapport est également sauvegardé automatiquement, au même endroit et avec le même nom que les précédents (il écrase le précédent). Finalement, désinstalle Avast!, qui est cuit de toute façon car Bagle l'a tué et il ne peut être réparé. Je te conseille de mettre AntiVir à la place, mais tu peux remettre Avast! si tu y tiens mordicus (souviens-toi simplement qu'Avast! ne t'a pas protégé contre Bagle...). Tu devras désinstaller WinAmp, qui est une victime aléatoire de Bagle également. Scanne avec ton antivirus fraîchement installé. Poste tous les rapports ici, à la suite : ComboFix (situé à C:\ComboFix.txt), FindyKill et AntiVir (ou Avast!). Ça devrait être terminé après tout ça. @+ et Joyeux Noël

Je ferme. Merci Apollo

Bonsoir à vous deux ; Désolé pour l'intrusion, mais il y a un petit quelque chose qui me chicotte : Pear l'a bien dit : Comment se comporte BitDefender ? Tu l'as réinstallé ? Bagle s'amuse à tuer les antivirus, les pares-feu et antispywares aussi. Parfois, il injecte le programme et le rend inopérant, et parfois il ne fait que tuer les boucliers (protection résidente). Pour tester les boucliers de BitDefender, je te fais créer un fichier Eicar qui est un "faux virus" normalisé, sans danger : Lance un nouveau fichier du Bloc-notes, puis copie/colle le contenu de la boîte "Code" ci-dessus dans ce fichier, sans le mot "Code" : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Du menu "Fichier", choisis "Enregistrer sous..." ; nomme-le Eicar.com Change le "Type:" (juste au dessous) pour "Tous les fichiers (*.*)" ; choisis le Bureau comme destination et clique "Enregistrer" >> BitDefender devrait bondir instantanément sur le fichier, si ses boucliers sont actifs. Si BitDefender ne fait rien, il devra être désinstallé puis réinstallé. @++

Bonsoir martini83, Zonk ; Trois petites choses avant de débuter : 1) ComboFix est un outil puissant et pointu ; tu dois être supervisé pour l'utiliser convenablement, mais surtout pour éviter les fausses manip. Bagle est une infection très agressive et impose beaucoup de prudence lors de sa désinfection. 2) Tu as AntiVir ? Tiens, c'est étrange, puisqu'il connaît bien Bagle et t'aurait protégé si ses boucliers avaient été actifs. Un antivirus doit être activé en tout temps, sinon il est parfaitement inutile. Et finalement : 3) J'aimerais bien en savoir plus, si tu me permets la question. Bagle se chope via un crack/keygen ou bien via un support amovible infecté. eMule et LimeWire ? Faut pas trop chercher... ============= Tu dois maintenant désinstaller AntiVir, si ce n'est déjà fait, puis le réinstaller. Branche tes lecteurs amovibles et fais une analyse complète tout de suite après l'installation et poste le rapport ici, pour vérification. SpyBot est pratiquement inutile de nos jours ; à toi de décider si tu veux le réinstaller **Tout programme qui donne l'erreur "...n'est pas une application Win32 valide", dans ton cas, a été injecté par le ver, ne peut être réparé et doit être désinstallé. J'attends donc le rapport d'AntiVir. @+

Bon... alors merci à toi flowstylz pour le complément d'info. Je vais donc attendre le retour de notre ami karlito, avec un rapport du scan Eset si possible, mais surtout avec une bonne description des symptômes quant aux lecteurs. @toute

mickartcan : tout est là, dans le lien que je t'ai laissé. Je ne questionne pas ta bonne volonté, mais je ne vais pas m'attarder à valider ta méthode qui ne tient pas sur un forum. Tu balances 3-4 outils sans tenir compte de la plainte initiale ; ça coûte du temps au client, ça. Tu vois, il faut gérer l'intervention et là, de bonnes explications sur les symptômes s'imposent Cela dit, ce sujet appartient à karlito et nous n'allons pas le polluer. Si tu avais l'intention de répondre à nouveau, alors prière de cliquer sur mon profil et de m'envoyer un message perso. Terminé.

karlito : je te souhaite la bienvenue sur Zébulon J'ai fermé l'autre discussion que tu as ouverte. Nous allons poursuivre ici. Pourrais-tu nous en dire plus quant au problème de lecteurs ? Je ne vois pas d'infection active dans ton rapport, mais tu peux compléter avec une analyse de MBAM : Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. @+

Doublon. karlito ; prière de poursuivre dans cette discussion : http://forum.zebulon.fr/pc-infecte-je-suis...rs-t156431.html Un seul sujet pour un même problème s'il vous plaît. Celui-ci est maintenant fermé.

Bonjour mickartcan Un peu de lecture par ici : http://forum.zebulon.fr/procedure-de-fourn...um-t140136.html Tout est bien expliqué.. J'ai édité ton post et voici quelques raisons : - Le mode Sans Échec avec prise en charge réseau n'est que très rarement prescrit sur les forums de désinfection car les protections (antivirus, pare-feu, boucliers antispywares) ne s'y chargent pas, laissant la machine très vulnérable, surtout si une porte dérobée et/ou un rootkit sont présents. - "4-ne te pose pas de question suprime tous ce qui trouve" Non mais, tu rigoles ? C'est une chose de faire confiance à un outil, mais toute une autre de promouvoir la confiance aveugle... Si une détection embête un membre/visiteur, il/elle a le droit de nous questionner. D'accord ? - Trojan Remover n'est à peu près plus prescrit sur les forums : inutile lorsque de bons outils sont utilisés. - SpyBot : sa vaccination est probablement son seul atout louable, de nos jours. Vraiment pas nécessaire (lorsque les bons outils sont utilisés..) ========= Tu me diras sûrement que tu as du "succès" avec cette méthode. Tant mieux pour toi. Sur les forums, les méthodes sont différentes et, crois-moi aveuglément, conçues pour les forums et efficaces. @+

Bonjour Chris et Thanos ! Permettez-moi cette petite intrusion... Chris, ne sachant pas à quel moment Thanos sera de retour aujourd'hui, je peux te donner une piste ; Si ton système te renvoie cette erreur, c'est que tu as probablement renommé l'outil alors qu'il était déjà sur la machine infectée. Voici ce que tu peux faire : - Pas nécessaire d'utiliser un clé USB, à moins que tu ne puisses télécharger à partir de la machine infectée. - Supprime l'outil que tu as présentement (à la racine du C:) - Fais un clic droit sur le lien de l'outil, tel que prescrit par Thanos précédemment et choisis "Enregistrer la cible du lien sous..." - Renomme le fichier avant de le sauvegarder sur ta machine - Sauvegarde-le sur ton Bureau plutôt que sur le C: (c'est plus pratique) - Lance-le tel que prescrit précédemment. Ceci fonctionne sous Vista car je l'ai testé hier soir, avec Bagle justement. Bonne continuation à vous deux

Sujet fermé

Bonsoir Rvezu ; je te souhaite la bienvenue sur Zébulon On dirait que ton ordi a été frappé par une variante du ver Koobface. Pour rétablir la connexion aux navigateurs : Lance HijackThis et clique "Do a system scan only", puis coche les lignes suivantes : ----------------------- R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9090 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> ----------------------- Ferme les fenêtres de navigateurs, puis clique "Fix checked". Ferme HijackThis. ~~~~~~~~~~~~~~~~~~~ Si la connexion n'est pas rétablie, tu devras modifier les paramètres suivants : - Dans Internet Explorer : -- Menu "Outils" >> "Options Internet" --- Onglet "Connexions" >> clique le bouton "Paramètres réseau" ---- Décoche la case "Utiliser un serveur proxy pour votre réseau local..." (si tu avais réglé un proxy toi-même, tu devras le reconfigurer). - Dans FireFox : -- Menu "Outils" >> "Options..." --- Onglet "Avancé" >> onglet "Réseau" (juste au dessous) >> clique le bouton "Paramètres..." ---- Clique pour activer le bouton "Pas de proxy" (si tu avais réglé un proxy toi-même, tu devras le reconfigurer). Voilà, les navigateurs devraient fonctionner maintenant. ~~~~~~~~~~~~~~~~~ Je vais te faire passer un outil d'analyse maintenant : Télécharge DDS (par sUBs) du lien suivant et sauvegarde-le sur ton Bureau : http://download.bleepingcomputer.com/sUBs/dds.scr Désactive la protection résidente de ton antivirus ; tu pourras la réactiver lorsque l'outil aura produit son rapport Double-clique sur dds.scr afin de lancer l'outil Un fichier texte apparaîtra lorsque l'analyse sera terminée, nommé DDS.txt Clique Oui à l'invite suivante (Optional Scan) Sauvegarde ces deux fichiers texte sur ton Bureau Copie/colle seulement le contenu de DDS.txt ; conserve l'autre car je pourrais te le demander plus tard. ~~~~~~~~~~~~~~~~~~ Finalement : j'aimerais savoir quels outils ont été passés lors de ton enquête. Merci et @+

Ah... merci Sacles Je ferme cette discussion, pour éviter toute confusion et/ou fausses manip. @+