Mark

Bien joué ComboFix a essentiellement dégagé les deux infections et t'a remis le Gestionnaire des Tâches en fonction. Pour Navipromo, il ne fait pas le travail au complet, alors on terminera en manuel pour les quelques restes (pas nécessaire de relancer Navilog1). ComboFix signale une anomalie dans un fichier installé par HP, qui est un installateur Symantec. Je ne suis pas trop inquiet, mais j'aimerais que tu me fasses analyser le fichier, en ligne, juste pour m'en assurer. C'est tout simple. Va ici avec Internet Explorer : http://www.virustotal.com/fr/ Copie-colle le chemin entier du fichier suivant dans la boîte de recherche (sous "Envoyer un fichier") : C:\SwSetup\SP34746\WCAMC\FW_210_Silence Install .exe Clique sur "Envoyer le fichier". Possible que tu te retrouves en file d'attente, donc patience. Les résultats apparaîtront graduellement, pour les 35 ou 36 antivirus, juste au dessous. Colle les résultats ici, dans ta prochaine réponse. Merci... @++

@Mido1 : Non. Lorsque tcinstall.exe est présent, il y a des signes très évidents dans un rapport HijackThis. La présence de cette ligne R1 a été signalée... une fois lorsque l'infection était présente ? Mais pourtant elle est légitime et ne pointe aucunement à une infection. Tes interventions récentes dans ce forum ne font que nuire aux visiteurs ; tu postes avec des instructions partielles, voir risquées, tout en mentionnant d'attendre l'arrivée d'un membre de l'équipe de désinfection. Résultat ? Les posts s'accumulent (le tien + réponse du membre) et là le topo disparaît du radar des membres de l'équipe et le membre se retrouve sans aide, grâce à toi (si-si). Merci de t'abstenir, à l'avenir. Si je t'y reprends, ce sont les vacances forcées d'une durée indéterminée. Ceci ne sera pas une surprise pour toi, vu les avertissements antérieurs. @+

Ah oui, bien vu. Deux options alors : 1) Les risques que le Bureau ne réapparaisse pas suite au lancement de l'outil sont minimes. Sans Gestionnaire des Tâches, tu pourrais redémarrer la machine avec le gros bouton. Ou.. 2) Tu mets Navilog1 de côté pour l'instant et tu passes directement à ComboFix. L'une ou l'autre, selon ta préférence. @+

Merci pour le rapport Poursuivons... Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 2. Suis les instructions et patiente. L'outil va t'informer qu'il redémarrera ton ordinateur. Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. Appuie sur une touche ainsi que demandé. Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. Choisis ta session habituelle si nécessaire. Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). Un document du Bloc-notes est créé. Sauvegarde le rapport sur ton Bureau. Referme le Bloc-notes. Ton Bureau va réapparaître. Réactive le contrôle des comptes utilisateurs (UAC-User Account Control). Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK. ~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~ Désactive (temporairement) ton antivirus car il peut nuire au bon fonctionnement du prochain outil. Désactive le Tea Timer de SpyBot (module résident), comme ceci : Lance Spybot>> "Mode avancé" >> "Outils" >> "Résident" et décoche TeaTimer. Ferme le programme. Branche ta ou tes clés USB à l'ordi, ainsi que tout autre lecteur amovible que tu possèdes (disque dur externe, carte mémoire ou autres, le cas échéant). Télécharge ComboFix (par sUBs) de l'un des trois liens suivants : http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe - Sauvegarde le sur ton Bureau. - Double-clique sur Combofix.exe et suis les instructions. - Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte). Poste (copie/colle) le contenu du rapport dans ta prochaine réponse. Le rapport est également sauvegardé ici : C:\ComboFix.txt (où C: est le lecteur système). **Note : Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ; ceci provoquerait le gel du programme. ======== ======== Colle les rapports de Navilog1 (sauvegardé sur ton Bureau) et de ComboFix dans ta prochaine réponse, dans cet ordre s'il te plaît. Merci et @+

Merci pour ces rapports Bon y a un peu de monde : Navipromo + infection de lecteur amovible (via MSN - souvent). Le Gestionnaire des Tâches me semble Ok (tu peux me confirmer). Je vois également des restes de Norton sur ta bécane ; prière de les désinstaller complètement par Ajout/Suppression de programmes et voici les composants ciblés : LiveUpdate 3.2 LiveUpdate Notice Désinstalle également les versions suivantes de Java (périmées) : Java™ 6 Update 2 Java™ 6 Update 3 Java™ 6 Update 5 Redémarre si demandé après les désinstallations. Sinon, quitte le Panneau de Config. ~~~~~~~~~~~~~~ Pour la désinfection, allons-y doucement et par étape : Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). Démarrer > Panneau de Configuration Double clique sur l'icône Comptes d'utilisateurs Clique ensuite sur Désactiver et valide. Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. Attends la fin de l'installation. ====================================== Option #1 : Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 1. Suis les instructions et patiente. Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). Appuie sur une touche ainsi que demandé. Un document du Bloc-notes est créé : fixnavi.txt. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\) @++

Bonjour missgeek ; Sois la bienvenue sur nos forums Ton sujet a été déplacé, tel que demandé. Voyons voir s'il se cache une bestiole derrière tout ça : ============= Télécharge random's system information tool (RSIT) par random/random d'ici et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches) @bientôt pour la suite..

Doublon X9 Procédure en cours ici : http://forum.zebulon.fr/rapport-hijackthis...lp-t150488.html

Salut WawaSeb, tout le monde ; Plutôt exhaustive ta liste de manipulations Je la regarde et me dis qu'il y manque peut-être 2-3 trucs (à essayer dans l'ordre) : - Quelques mots doux - Un massage suédois - Un diner au resto, en tête-à-tête Plus sérieusement, cela démontre la complexité des problèmes de ce genre... Y a peut-être un ou des nettoyeurs de base de registre derrière tout ça aussi (je les déteste). Je pensais aussi à une désintallation/réinstallation du SP2, mais... rendu là, vaut mieux formater la partition système et repartir à neuf. Tu nous fais signe si réponse de Microsoft ? Il sera peut-être trop tard pour sifffer6, mais si ça peut aider dans le futur, why not. Merci pour ces précisions @++

Bonsoir pear, sifffer6 ; Après consultation des rapports, je peux vous affirmer que les MAJs pour Windows se font toujours ; les dernières datent du 14 (Août). La connexion vers Windows Update est donc saine. J'ai lu plusieurs discussions où il y avait des problèmes similaires avec IE, mais très peu (ou pas) de solutions faciles. Ça semble être de la corruption au niveau du registre et les méthodes connues ne fonctionnent souvent pas (sfc /scannow, réinstaller Ie.inf, etc...). Dans ton cas, tu peux utiliser l'ordi sans trop de soucis en naviguant avec FireFox. L'extension IE Tab que je t'ai faite installer pourra te permettre de lancer des applications qui ne tournent que sous IE (contrôles ActiveX). La technique est simple : tu ouvres la page et fais un clic droit à l'intérieur >> "Afficher cette page avec IE Tab". Fais gaffe par contre, car le module derrière IE Tab n'utilise pas tous les paramètres de sécurité inclus dans IE7 ou même IE6 SP2, ce qui veut dire que le PC est plus vulnérable aux attaques lorsqu'IE Tab est utilisé. Assure-toi de ne l'utiliser que sur des sites fiables donc... @++

Hmmm... Il reste peut-être une méthode. Regarde la #4 ici : http://support.microsoft.com/kb/318378/fr Il faut simplement trouver le fichier Ie.inf puis l'installer (par clic droit). Sinon...

Bonsoir vous deux ; Ouff... Y a eu de la casse avant l'infection, de toute évidence, et ensuite Bagle... Système bien mal en point. Le répertoire "C:\Program Files\Internet Explorer" existe-t-il ? On peut tenter un truc, sans garantie par contre : - Installe l'extension IE Tab pour FireFox du lien suivant : https://addons.mozilla.org/fr/firefox/addon/1419 - Tu devras redémarrer le navigateur pour que l'installation se complète - Retourne sur la page suivante (avec FireFox) : http://www.microsoft.com/france/windows/do...e/getitnow.Mspx - Fais un clic droit à l'intéreur de la page et choisis "Afficher cette page avec IE Tab" - Essais de télécharger puis d'installer IE7. =============== IE6 est partiellement installé malgré tout, sinon SFC aurait aboyé. Reste à voir si IE7 peut être installé, sinon il te faudra réparer l'installation de XP avec le CD. Si rien ne fonctionne, un formatage éventuel pourrait être la seule solution. @++

Bonjour à vous deux ; Pour lancer IE6, supprime d'abord le(s) raccourci(s) d'Internet Explorer qui se trouve sur le Bureau ainsi que celui dans la barre de lancement rapide (si présent). Ensuite, rends-toi là avec l'Explorateur : C:\Program Files\Internet Explorer ... fais un clic droit sur Iexplore.exe et choisis "Envoyer vers" >> "Bureau (créer un raccourci)" Tu devrais maintenant pouvoir lancer IE6. ============ Pour télécharger IE7, tu pourras le faire via Windows Update, ou bien directement du lien suivant : http://www.microsoft.com/france/windows/do...e/getitnow.Mspx Bon succès...

Bonjour à vous deux J'ai AntiVir ici alors je peux vous éclairer (je l'espère...) : Geronimo : - Fais un clic droit sur l'icône d'AntiVir (près de l'horloge) et choisis "Configure AntiVir" - Une fenêtre différente de celle obtenue par "double-clique" sur l'icône apparaîtra ; - Coche "Expert mode" (au haut à gauche) ; - Sous "Guard" >> "Scan" >> "Heuristics", tu retrouveras la bonne section (capture d'Apollo) =========== Pour le son ; tu lis l'anglais ? Va voir par là : http://www.mydigitallife.info/2007/08/16/s...ernal-websites/ Bonne continuation à vous deux

Bonsoir à vous deux Je me permets de poster un petit détail, ayant lancé Bagle à quelques reprises en labo ; En rouge : c'est typique du fichier installateur de Bagle. Dis-nous nenette55, il vient d'où ton antivirus ? Ce ne serait pas un Avast! Pro ? Cracké ? De toute évidence, ton fichier d'installation est lui-même infecté... Supprime-le illico. Installe AntiVir gratuit et passe un scan complet. Si ça coince et que Bagle est de nouveau actif, ce qui est possible - surtout après un redémarrage, ben il faudra nettoyer à nouveau et ensuite installer AntiVir... Bon succès

Salut sifffer6 Pear n'étant pas en ligne et pour faire avancer... L'astuce ici est de renommer ComboFix avant de le sauvegarder sur ton ordi, sinon Bagle l'injecte et l'outil te retourne le message "n'est pas une application win32 valide" et refuse de tourner. 1) Supprime Combo-Fix.exe qui est sur ton Bureau (il est infecté) et toute autre copie de ComboFix présente, si pertinent. 2) Télécharge ComboFix à nouveau, avec Internet Explorer (plus simple), et choisis de l'enregistrer. Dans la fenêtre de sauvegarde, renomme-le en Combo-Fix.exe puis sauvegarde sur le Bureau. 3) Lance Combo-Fix.exe tel qu'indiqué plus haut, puis poste son rapport ici. Note : Bagle ralenti terriblement la machine donc ComboFix mettra un certain temps à tourner. Ceci est normal. Il va même forcer un redémarrage en début de routine ; normal. Bonne continuation à vous deux.

Salut pear ; Qu'y faire ? Difficile de modifier ce genre de comportement... On dénonce, on explique tout en espérant que ça ne se reproduise pas. On fait signe aux collègues impliqués aussi, peu importe sur quel forum. @++

Bonjour pear Jète un oeil par ici si tu le veux bien : http://www.commentcamarche.net/forum/affic...ojan-bifrose-la Étant donné que patou57 reçoit de l'aide là-bas et que le helper a décidé de poursuivre en sachant très bien qu'il y avait de l'aide ici - sans te contacter pour t'en aviser, je te conseillerais de stopper les recherches car vous risquez de tourner en rond avec requêtes et manipulations en double, à l'aveugle. Pire, ça pourrait provoquer de la confusion chez le visiteur donc le risque de fausse manip devient réel. patou57 : je n'apprécie pas ton silence quant à l'aide que tu reçois sur CCM. Les bénévoles sur forums ont suffisamment de boulot et le travail en double bouffe un temps fou, sans parler du risque de confusion qui peut engendrer de graves conséquences. Le helper là-bas savait que tu étais ici et a décidé de poursuivre malgré tout (son choix) ; si pear veut poursuivre ici, je ne m'y opposerai pas, mais je l'appuierai à 100% s'il décide de terminer maintenant. @+

Salut viruSick, Falkra Je vois que tu es en ligne mais Falkra est absent pour le moment. Du 98, ça m'intéresse (nostalgie...). Juste pour faire avancer avant que Falkra ne revienne : Parle-nous de McAfee et BitDefender (antivirus installés) : as-tu tenté de désinstaller McAfee ? BitDefender est-il à jour et actif ? ~~~~~~~~~~~~~~~~ Tu peux également lancer HijackThis avec "Do a system scan only", puis coche la ligne suivante : O16 - DPF: {1E89F686-B78D-4C85-9EFC-3474516E3FE2} - http://directplugin.com/plugin/111748.exe Ferme ton navigateur puis clique "Fix checked". Ferme HijackThis. ========== ========== Le problème majeur avec 98 est sa stabilité... Possible que nous ne puissions pas le remettre en parfait état, mais on peut essayer de dégager l'infection. Alors parle-nous de tes antivirus ; Falkra va revenir dès que possible. @++

Bonsoir galahad97 Je te remercie pour ton intervention qui est très correcte. J'ai cependant édité/rayé la portion qui traite du mode Sans Échec via msconfig, et je m'explique : Certains malwares bloquent l'utilisation du mode Sans Échec volontairement via certaines clés de registre ; le but de ceci étant d'empêcher les manips en Sans Échec qui pourraient les détruire. Si tel est le cas et que tu essaies /SAFEBOOT via msconfig, l'ordi se retrouvera dans une boucle au démarrage, interminable et pas commode à réparer. La seule façon sécuritaire de lancer un ordi en mode Sans Échec est via la touche F8 (ou F5 avec certaines nouvelles cartes mères). Si ça ne fonctionne pas avec F8, ne pas insister et diagnostiquer le problème à la base. Dans le cas de sénèque, je crois qu'il s'agit d'un bug d'Avast! qui, il y a quelques jours, ciblait un fichier système légitime (oupss), causant de gros problèmes... http://support.avast.com/index.php?_m=know...kbarticleid=307 L'alerte a été donnée ici : http://forum.zebulon.fr/faux-positif-d-ava...sv-t145797.html À suivre..

Bonjour marcod, Bruce, Apollo ; Notre cher marco a lancé trois discussions que je viens de fusionner. marco : je vais t'envoyer un message de ce pas, qui te pointera ici. Il te faut répondre dans une seule discussion ; c'est la bonne et seule démarche à suivre sur un forum... Tu postes, quelqu'un te répond et tu poursuis sans lancer un nouveau topic, simplement en cliquant sur le rectangle "REPONDRE" au bas et à droite de la discussion, entre "FLASH" et "NOUVEAU". Sinon c'est ingérable et tout le monde s'y perd. bruce lee t'a demandé de passer SDFix. C'est fait ? Tu as le rapport ? Assure-toi de suivre les instructions à la lettre... Apollo t'avais demandé de passer l'option #1 de SmitfraudFix mais toi tu as fait l'option #2 - incorrectement Sois patient et garde ton calme s'il te plaît ; cela te sera bénéfique (pour ton PC également). Bonne continuation.

Coucou Angélique, oGu Vous me permettez ? Quelques trucs : - Zone Alarm a été injecté par Bagle et est maintenant hors de combat. Tu dois le désinstaller puis le réinstaller. Non, au fait, installe un meilleur pare-feu gratuit (pas de cracks svp...) >> Comodo Pro Firewall ou PC Tools Firewall Plus - Ta connexion : Bagle transforme ta machine en zombie ; elle utilise toute la bande passante disponible pour spammer ou attaquer (le spam, tu connais ? Viagra, Cialis, gros machin, etc... ben ces emails sont expédiés via des machines infectées). Les FAI surveillent les machines zombies et peuvent sévir... en coupant ta connexion. - Parle à tes amis qui t'envoient ces jolis cracks, Ok ? Mais surtout, assume. Je crois que tu commences à comprendre. Un bénévole en Sécu déteste revoir le même visiteur 4, 5, ou 10 fois. Notre but premier est de prévenir, pas de chouchouter les récidivistes. Tiens, encore un peu de lecture intéressante qui traite du Botnet Bagle (ça date un brin, mais très instructif) : http://www.viruslist.com/en/analysis?pubid=162656090 http://www.daniweb.com/blogs/entry1464.html Bonne fin de soirée

Bonsoir Caliberto ; Ton premier post sur le forum, alors je te souhaite la Bienvenue Une petite remarque avant de débuter : Tu as manuellement édité l'en-tête du rapport. Il devrait ressembler à ceci : Il nous est extrêmement difficile de bosser efficacement sans les détails fournis par les outils (tous les détails..). Si l'en-tête contient un truc que tu juges confidentiel, prière de me faire signe par messagerie (Message Perso) afin que je puisse y voir clair. Merci ================ Bon... Bagle ne semble pas actif en ce moment, quoiqu'un fichier infecté se trouve toujours là. Quelques précisions sur cette infection : - Elle transforme le PC infecté en machine zombie, ce qui signifie que la machine fait partie d'un Botnet qui permet à un malfaiteur de contrôler le PC à distance et de le faire spammer ou attaquer des cibles choisies - à volonté. Ce Botnet compte quelques centaines de milliers de PCs infectés, aux quatre coins du globe. Tout cela se passe sous ton nez et Bagle détruit ton antivirus et pare-feu (si présents) en plus de désactiver le Centre de Sécurité Windows. Bagle fait plus encore, mais je t'épargne les détails. Ça fait un peu peur ? Ça devrait... Ces infections sont des boîtes à surprises, alors au boulot. Un ou des processus légitimes sont infectés par cette saleté, ce qui provoque des réinfections, donc il nous faut trouver le coupable (si présent). Je te fais faire un scan en ligne chez F-Secure : - Avec Internet Explorer, rends-toi sur le site suivant : http://support.f-secure.com/enu/home/ols.shtml - Va au bas de la page et clique sur "Start scanning" - Accepte la licence - Tu devras autoriser l'installation d'un contrôle ActiveX - Choisis "Full System Scan" - L'analyse prendra un certain temps (normal). - En fin d'analyse, clique sur le bouton "Automatic cleaning (recommended)" - Clique sur le bouton "Show Report", puis copie/colle ce dernier dans ta réponse. Dis-moi comment se comporte ton ordi. Parle-moi aussi de l'en-tête du rapport de ComboFix. @+

Bonjour à vous Si vous me permettez... Julien : je pense que tu devras t'inscrire afin de pouvoir poster à nouveau. Cette nouvelle règle s'applique depuis hier dans les sous forums Sécurité. La raison est bien simple : cela permet aux bénévoles et aux membres de travailler de façon beaucoup plus efficace. Tu devras sûrement te trouver un pseudo autre que "Julien", mais je te fais confiance Je préfèrerais que tu attendes avant d'installer et de lancer ComboFix par contre.. @styx : Tu sais que ComboFix est puissant et pas seulement un outil d'analyse (je n'en doute pas). L'outil est codé pour une utilisation optimale en mode Normal. J'aimerais que tu me pointes vers une ligne ou un symptôme qui justifierait son emploi ici. Réflexe à contrôler à tout prix : faire passer ComboFix juste pour voir le rapport et/ou pour le "au cas où..". Trop dangeureux. À n'utiliser que lorsque nécessaire, lorsque qu'une (ou plusieurs) bête ciblée est identifiée. MalwareBytes Antimalware est plus généraliste et se prête mieux aux situations de "doute". Attendons son rapport avant de sortir les canons ? @Wullfk : excellent réflexe que de demander la mise à jour de Sun Java, surtout lorsque la version présente est vraiment ancienne et vulnérable aux infections... Par contre, il ne faut pas oublier de demander la désinstallation des versions antérieures (via le Panneau de config >> "Ajout/Suppression de programmes") et ne conserver que la toute dernière (la version 6 Update 6 en ce moment). Les anciennes versions présentes sur une bécane sont exploitables, même si la toute nouvelle est installée. Cela dit, demandons à Julien de poster le rapport de MalwareBytes Antimalware et puis vous verrez pour la suite.. @++

Bonsoir Sive WawaSeb et moi avons collaboré sur ton "problème", alors permets-moi cette petite intrusion car il est sorti pour le reste de la soirée. Pour Norton : je ne connais pas la version Corporate du tout, mais en théorie l'infection est complètement éradiquée donc le problème doit être une petite config au niveau des paramètres de connexion (dans Norton..). Lance le programme et fouille dans les options de connexions / mises à jour. Bagle a également détruit ton pare-feu (Kerio) que tu devras désinstaller (via le Panneau de Config >> Ajouts/Suppressions de programmes) puis réinstaller en entier. Même chose pour ton programme LightScribe, que tu dois désinstaller puis réinstaller. Les scans ne montrent pas d'autres dommages collatéraux, mais si jamais tu lançais un programme et que tu recevais une erreur du type "... n'est pas une application Win32 valide", ben ça indiquerait que Bagle a bel et bien infecté ce programme (qui devra être désinstallé/réinstallé). Mais ça devrait aller, lol. Juste pour info : ton ordi a été transformé en zombie suite à l'infection par ce Bagle, prêt à répondre aux commandes du "responsable". Relié à un Botnet, ton ordi aurait pu servir à attaquer ou à spammer. Pas jojo... mais là c'est derrière toi maintenant. N'hésite pas si questions ou commentaires Ciao

Salut Lien Rag Un peu d'info ici : http://www.korben.info/sp2-tcpip-patcher.html En gros, ça permet de faire tourner le P2P à fond... sans commentaires. @+