Mark

Bonsoir Tonton C'est une infection Bagle, chopée via un crack, fort probablement. Bagle fait tout ce que tu décris, en plus de tuer le mode Sans Échec, la connexion Wi-Fi, le Centre de Sécurité Windows. Il installe son propre client eMule et se sert de ta machine pour distribuer des fichiers infectés et autres pourritures, sous ton nez. Il faut dégager ça illico... ====== Télécharge Tonton.exe du lien suivant, puis sauvegarde-le sur ton Bureau: http://senduit.com/8ce7c7 (il s'agit de l'outil ComboFix renommé) Assure-toi que tous les programmes soient fermés avant de commencer. **Il est très important de brancher tous les lecteurs amovibles (clés USB, disques durs externes, etc...). Double-clique sur Tonton.exe afin de l'exécuter. Possible que tu aies un message te disant qu'AntiVir est actif, te demandant de le désactiver ; ignore ce message et poursuis. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et d'installer la Console de Récupération ; clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final. ComboFix t'alertera de la "présence d'activité de rootkit" sur ton PC et te proposera de le laisser redémarrer : accepte. Le Bureau disparaîtra, ceci est normal, et il va revenir. L'outil mettra plusieurs minutes (plus de 20, possiblement) à compléter sa routine, vu la gravité de l'infection ; sois patient. Un second redémarrage sera nécessaire, ce qui est normal. Ne ferme jamais la fenêtre de l'outil, tu te retrouverais avec un Bureau vide. Il est possible qu'AntiVir se mette à t'alerter durant l'analyse de ComboFix : ceci est normal, et tu n'as qu'à cliquer "Ignorer" aussi souvent que nécessaire (ça peut durer une ou deux minutes, pas plus). Lorsque l'analyse sera terminée, un rapport apparaîtra à l'écran ; Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt Voici un guide complet sur l'utilisation de ComboFix : http://www.bleepingcomputer.com/combofix/f...iliser-combofix (à noter que le guide ne fait pas mention du renommage de l'outil, mais ceci est nécessaire avec l'infection Bagle) @++ Mark

Bonjour Alain, Merci pour le rapport Je n'y vois pas les gros dégâts que j'anticipais, alors je devrai fouiller avec ma loupe lol. Avant de tout décortiquer ça, je dois te demander un truc : savais-tu que la machine a eu de grosses mises à jour pour Windows, hier soir vers 20:30 ? Je trouve ça très étrange, surtout dans son état actuel. Tu peux m'en dire plus ? Que s'est-il passé hier soir exactement ? Merci, et @+ Mark

Bonsoir Alain Désolé pour le petit délai. Tu as raison, on ne peut mettre de fichier en pièce jointe sur Zébulon, mais tu peux copier/coller le rapport ici, dans ta réponse ; la limite imposée par le forum est suffisamment élevée je pense. Si jamais tu obtiens une erreur lors du copier/coller, tu n'auras qu'à séparer le contenu en deux et mettre deux réponses ici, pas de soucis... Lorsque j'aurai analysé ce rapport, je pourrai ensuite te donner la suite, pour réparer. @++ Mark

Bonjour Alain Je ne suis pas certain d'avoir saisi tout ça... As-tu pu booter depuis le CD ReatoGo ? Si oui, tu te serais retrouvé devant un "autre Windows XP", qui porte le nom ReatoGo sur le Bureau. Sur ce Bureau, il y a quelques icônes dont le programme OTLPE. Il te faut absolument réussir à démarrer sur ce système si nous voulons progresser. La démarche (simplifiée) : il faut tout d'abord insérer le CD OTLPE préalablement gravé (ou DVD, selon ce que tu as choisi) et redémarrer la machine infectée. Tu auras une invite de démarrer depuis le CD et il te faut appuyer sur une touche pour confirmer (de mémoire là). En prinicipe, le système ReatoGo devrait se charger et tu devrais te retrouver sur son Bureau. Si tu y arrives, alors tu pourras suivre mes instructions afin de lancer l'outil OTLPE et de faire un scan, tel que prescrit. Le système ReatoGo est tout à fait indépendant de ton système (infecté) donc ça contourne les problèmes sur ce dernier et ça nous permet de regarder et éventuellement réparer depuis ReatoGo. Si le CD ne lance pas ce système ReatoGo, fais signe et on regardera ensemble pour y arriver. @++ Mark

Bonjour Vince Je sens bien le stress que tout cela te cause. J'installe des infections ici, de temps en temps, sur une machine dédiée à cette fonction ; je peux très bien comprendre le côté envahissant de celles-ci, lorsque tout bloque. Y a un "faux antivirus" qui circule en ce moment qui bloque complètement les machines ; impossible d'ouvrir une session. Pas jojo. Ça ne semble pas être celle qui a frappé ta machine, mais tu en as chopé toute une (ou plusieurs), de toute évidence. À mon tour d'être un peu perdu suite à ton dernier message... Tu as fait une réparation de Windows dûe au stress : Oké. SpyBot (le Tea Timer) hurle face aux changements dans le registre : Oké, rends-nous service à tous les deux et désinstalle SpyBot complètement. IE8 fonctionne suite à une réinstallation. Peux-tu me dire où tu en es présentement ? Y a-t-il toujours signes et/ou symptômes d'infections ? Nod32 fonctionne bien ? Comment se comporte la machine suite aux mises à jour ? Je vais attendre ton retour avant de te prescrire quoique ce soit... Courage, et à bientôt. Mark

Bonsoir vincedub ; je te souhaite la bienvenue sur nos forums Oké, je t'explique tout d'abord comment fonctionne les forums d'aide. Nous sommes toutes/tous des bénévoles ici, alors on fait ce qu'on peut, selon nos disponibilités. Quand je regarde tes rapports, je vois deux possibilités : 1) Avec plus de 5.000 euros de logiciels présents (3D Studio Max, Adobe CS4, ArchVision Content Manager, etc...), cette machine doit être utilisée pour du boulot sérieux, alors il faudrait sérieusement songer à ne pas faire de surf "libre" avec, ce qui expose aux infections et, possiblement, à la catastrophe (perte de données, de boulot donc de revenus, etc...). ou... 2) Ces logiciels ont peut-être été "récupérés" via eMule ou Azureus (dans ton cas), sans licences (?) Si oui, ne cherchons plus la source des infections... Pour réflexion. ======= La chance t'a souri cette fois-ci : pas de catastrophe on dirait. ======= ComboFix a viré une grosse infection, soit dit en passant. Quels sont donc les symptômes qui perdurent suite à son passage ? Dernière question : Nod32 tourne sur la machine actuellement, alors j'aimerais savoir s'il était là et actif au moment de l'intrusion. S'il n'y était pas, alors y en avait-il un autre ? Actif ou non ? @++ Mark

C'est gentil, et très apprécié Je te souhaite une bonne remontée et tous les petits bonheurs qui viendront avec ; un beau Win7 compris Pas toujours évident... N'hésite pas à revenir pour des conseils, etc... À bientôt, Mark

Bonsoir Tu peux laisser MBAM réparer (mettre en quarantaine) ce fichier infectieux. Ça semble donc Ok pour le reste. Ah là-là... que du plaisir tu as eu avec Acer et Microsoft, à ce que je vois. C'est un problème avec certaines de ces usines - et les grandes surfaces aussi. Je ne sais pas si les CD de restau auraient été utilisables avec le nouveau DD ; je dirais peut-être... Tu as un proco à deux coeurs, donc je pense que le Acer supporterait Windows 7 sans problème, surtout si tu as 2 Gigs de Ram ou plus (1 Gig pourrait suffire, mais c'est limite). Win7 est presqu'aussi léger qu'XP, côté ressources, et bien mieux pour tout le reste. À méditer, surtout que la fin de vie pour XP approche, alors pas la peine d'investir. Y a moyen de garder la machine propre en prenant quelques précautions : éviter le P2P, les torrents, bref... tout ce qui propose la gratuité où elle n'existe pas Les "méchants" exploitent directement cette faille humaine et font du fric à profusion en infectant nos machines. À nous toutes/tous d'y voir, finalement. Si t'as d'autres questions ou commentaires, pas de gêne Edit/ajout : j'allais oublier de te faire désinstaller ComboFix proprement (on ne le garde pas ; il est mis à jour constamment). T'as juste à cliquer sur le bouton Démarrer > "Exécuter..." puis tu copie/colle la ligne dans la boîte et ensuite tu cliques "OK" : ComboFix /uninstall Ça ne prend que quelques secondes. @+ Mark

Bonjour pinok1, Merci pour tous ces détails Bah ma mémoire n'est pas si bonne que cela ; j'ai eu de l'aide du forum pour m'y retrouver En ce qui concerne ton XP : je comprends très bien et, techniquement, tu as la licence pour ce dernier. Mais... licence ou pas, le système n'est pas légal du fait qu'il a été modifié en profondeur. Acer n'installait pas une partition de recouvrement à cette époque-là, en plus d'offrir de graver les CDs de restau ? Si oui, j'imagine que cette dernière a été éliminée suite aux problèmes avec le disque... Tu pourrais peut-être contacter le soutien technique Acer et voir s'ils pourraient te fournir des disques de recouvrement d'usine (XP) ; je ne sais pas si c'est possible, mais un simple email pourrait t'éclairer. On dirait que ComboFix a nettoyé ce qu'il y avait d'actif (infections). Il y a bien quelques restes et des fichiers qui ne passent pas la vérification numériques, mais je n'oserais y toucher vu les modifications au système. Pour ce qui est des mises à jour pour XP et IE : je ne sais pas si tu peux mettre ce système-là à jour, bien honnêtement. Des fichiers système modifiées ont été installés et je pense qu'il pourrait y avoir de la casse si tu osais les mettre à jour. Comment se comporte la machine à présent ? Y a-t-il des symptômes résiduels ? Malwarebytes' voit-il quelque chose ? @++ Mark

Bonjour pinok1 On se recroise, on dirait... C'est moi qui était là lorsque Virut a frappé ta machine en Mars 2009. J'ai retrouvé ton sujet de Novembre 2008, avec de grosses infections là aussi. Quand je regarde ces deux sujets et le rapport de celui-ci, je réalise que j'avais oublié de te mentionner quelque chose d'important : ton XP est modifié et pas du tout à jour... C'est plus évident aujourd'hui qu'en Mars 2009, mais bon. XP avec le SP2 n'est plus supporté par Microsoft depuis Avril, et IE6 est un vrai aimant à infections. Pas surprenant qu'on se recroise ainsi. Et oui, on dirait bien que tu es infecté à nouveau. En gros : sans mises à jour importantes mais surtout sans un système parfaitement légal (reprends-moi si je dis des conneries..), nous ne pourrons plus t'aider avec cette machine-là (lire ce XP-là). C'est dans la Charte et c'est aussi très logique ; pourquoi bosser (bénévolement) sur des systèmes modifiés et pas à jour ? Tu n'avais pas été averti la dernière fois, je pense (mea culpa), alors je suis prêt à regarder cette fois-ci, seulement. Tu devais même t'y attendre un brin... ============== Tu connais ComboFix, mais je te pointe tout de même vers le guide d'utilisation officiel : http://www.bleepingcomputer.com/combofix/f...iliser-combofix > Si la Console de Récupération est toujours sur ta machine, c'est parfait ; sinon, il faudra impérativement la remettre (c'est expliqué dans le guide). > N'oublie pas de désactiver l'antivirus ainsi que WinPatrol avant de lancer l'outil. > Colle le rapport de ComboFix dans ta réponse. @+ Mark

Bonsoir à vous deux Juste une petite remarque, si vous me permettez : Vista sans les Service Packs peut avoir des conflits avec des pilotes je pense. IE7 n'est pas sécure, lui non plus. En mettant les SP1 puis SP2, ça pourrait aider (et IE8 éventuellement, pour la sécurité de la machine). @+ Mark

Ouff, j'avais loupé la notif Bonsoir Christelle Oui je suis d'accord. On va voir pour le KB898461 tout de suite ; ========== On va d'abord s'assurer que tu puisses voir les fichiers système via l'Explorateur : Ferme ou réduis tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite, retrouve le fichier suivant (via l'Explo ou bien le Poste de Travail) : C:\Windows\System32\Spupdsvc.exe > Lorsque repéré, place ton curseur de souris dessus et fais un clic droit > "Renommer" ; > Modifie le nom en SpupdsvcOld.exe et valide. > Redémarre la machine. Maintenant, tu peux télécharger et installer le SP3 du lien suivant, en prenant soin de désactiver ton antivirus avant de l'installer: http://www.microsoft.com/downloads/details...;displaylang=fr Dis-moi si tu constates des améliorations avec la machine.. @++ Mark

D'acco-dac Petite note : pour éviter de citer les messages précédents dans tes réponses, tu n'as qu'à cliquer sur le bouton "Répondre" qui se situe en les boutons "Flash" et "Nouveau" (juste un peu plus bas que le bouton "Répondre que tu utilises présentement). Merci, et bon succès

Bonjour ckoya Falkra a une surcharge de travail ces jours-ci et je lui ai offert de prendre un ou deux cas. Je suppose que tu as accès à une machine qui fonctionne pour venir ici, alors on va pouvoir essayer un truc. Il s'agit de graver un CD (ou DVD) bootable, qui nous permettra d'accéder au système endommagé et d'y faire quelques réparations : =============== Télécharge OTLPEStd.exe sur le Bureau, du lien suivant : http://ottools.noahdfear.net/OTLPEStd.exe > Le fichier fais plus de 90MB, donc ça peut prendre un certain temps, pour le téléchargement. > Tu dois impérativement avoir un graveur fonctionnel, et tu dois y mettre un disque vierge (CD ou DVD) ; > Lance le fichier OTLPEStd.exe ; > Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge. Il s'agit d'un ReatoGo bootable, nommé OTLPE, qui te permettra d'avoir accès à tes fichiers sur la machine qui ne démarre plus. > Démarre la machine infectée et insère rapidement le disque gravé, afin que le démarrage se fasse via ce disque. Si ça ne fonctionne pas du premier coup, redémarre la machine avec le disque dans le lecteur à nouveau. Si ça ne focntionne toujours pas, il faudra vérifier l'ordre du boot dans le BIOS et mettre le lecteur optique en premier. > Si tout va bien, tu démarreras sur l'environnement OTLPE ; > Double-clique sur l'icône OTLPE qui se trouvera sur le Bureau. >> On te demandera : "Do you wish to load the remote registry": clique Yes >> On te demandera : "Do you wish to load remote user profile(s) for scanning": clique Yes >> Assure-toi que "Automatically Load All Remaining Users" soit coché, puis clique OK > OTL devrait se lancer. Modifie l'option "Drivers" à "All", puis "Standard Registry" à "All". > Depuis ta machine qui fonctionne, copie/colle le texte suivant (en vert) dans un nouveau fichier du Bloc-notes: /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe explorer.exe ntoskrnl.exe /md5stop %SYSTEMDRIVE%\*.* %systemroot%\*. /mp /s %systemroot%\System32\config\*.sav - Sauvegarde le fichier et transporte-le sur la machine infectée via clé USB. - Depuis l'environnement ReatoGo (OTLPE), ouvre le fichier texte qui est sur ta clé USB. - "Copie" le contenu du fichier, puis "Colle"-le dans la fenêtre "Custom Scans/Fixes" (au bas de OTL) ; - Clique maintenant sur "Run Scan" (au haut, à gauche). > Lorsque l'analyse sera terminée, un fichier texte sera créé : C:\OTL.txt ; > Copie/colle ce fichier sur ta clé USB, puis reviens sur la machine qui fonctionne et poste le contenu du rapport ici, s'il te plaît. === Après analyse du rapport, nous pourrons attaquer. @+ Mark

Bonjour à vous deux, et désolé de vous interrompre... Les fichiers qui ne passent pas la vérification numérique (ws2_32.dll, user32.dll et sfcfiles.dll) sont dans cet état simplement parce que XP est modifié. Il est légal, le système ? ComboFix a dégagé une grosse infection qui cause des redirections de recherches, mais il y en a une autre avec rootkit sur le Master Boot Record, qui donne le contrôle à distance au pirate responsable. Les mots de passe et autres identifiants sécurisés (# de comptes bancaires, # de carte de crédit, etc...) peuvent avoir été compromis/relevés. Il faudra contacter la ou les institutions bancaires et les aviser qu'il faut immédiatement modifier les identifiants ; mais il ne faudra pas effectuer de transactions à partir de cette machine-là tant que l'infection n'aura pas été éradiquée. Voici la suite : ============= Avis aux visiteurs : cette procédure est personnalisée pour la machine de marnyman *Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus. Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) : http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe (pour XP seulement) - Ferme tous les programmes lancés/ouverts. - Lance l'outil par double-clic et suis les invites. - Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine. - Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente. **Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : mbr -f (il y a un espace après "mbr") - Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f) - Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt). - Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ; - Patiente 5 minutes, après le démarrage (ne lance rien). > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ===== *Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). @+ Mark

Fallait pas nécessairement me remercier Tu sais nanotek, nous sommes tous bénévoles ici. Y a beaucoup de machines infectées à traiter, dans la section. Les bénévoles ne fournissent souvent pas à la demande, alors on doit parfois couper court, quand une machine est clean mais que certaines questions persistent. Les outils spécialisés sont parfois très complexes (GMER par exemple) et l'information quant à leur utilisation est souvent restreinte, pour toutes sortes de raisons (valables). Quand un membre nous questionne sur le ceci ou cela d'un tel outil, nous n'avons pas le temps et souvent pas la permission d'en discuter. Alors voilà pour GMER. Tout ce que nous pouvons te dire est que le rapport est propre. Pour en savoir plus, il faut se former mais aussi bien connaître les systèmes (registre, services, etc...). Bref, quand un helpeur ne répond pas dans un topo, il peut y avoir plusieurs raisons derrière le silence. Faire un Up^^ dans le topo est la meilleure chose à faire ; sinon, un Up ici, ça va aussi. Un Up suffit ; pour le reste... passons. Ce sujet a été créé pour attirer l'attention des helpeurs lorsqu'un sujet est soit non pris en charge, soit sans réponse depuis un bout. Il n'est pas un endroit pour troller ou faire la morale hein. On fait ce qu'on peut. Merci Mark

Je vais faire un gros ménage des derniers messages dans cette discussion (edit : c'est fait). Pour répondre à nanotek : rapport GMER propre. Terminé. Edit : popup, tu as 24 heures de repos.

La récompense est sous mes yeux : une machine qui revit En tout cas, bien joué, car ce ne sont pas des manipulations simples que celles-là Pour le fond d'écran : je dois te faire passer un autre outil qui risque de le remettre, sinon on verra : ============== Pour utiliser ComboFix convenablement, prière de suivre les instructions fournies dans le guide suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix **Les choses importantes à vérifier : > Désactiver l'antivirus et le pare-feu tierce (si présent) avant de passer l'outil. > Installer la Console de Récupération, tel que décrit dans le guide. Poste le rapport de l'outil ici, dans ta réponse (il se trouve à "C:\ComboFix.txt"). Je ne repasserai que très tard, alors à demain Mark

J'ai trouvé un peu de temps alors me revoilà... Voici la suite : ======== > Depuis ta machine pro, copie/colle tout le texte suivant (en vert) dans un nouveau fichier du Bloc-notes : :OTL DRV - [2010/05/24 13:19:43 | 000,741,376 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\cpqskav.sys -- (cpqskav) O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found. O4 - HKU\tania_ON_C..\Run: [security essentials 2010] C:\Program Files\Securityessentials2010\SE2010.exe File not found O4 - HKU\tania_ON_C..\Run: [smss32.exe] C:\WINDOWS\System32\smss32.exe File not found O7 - HKU\tania_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O7 - HKU\tania_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\helpers32.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - C:\WINDOWS\System32\helpers32.dll () O20 - AppInit_DLLs: (C:\WINDOWS\system32\0042.DLL) - C:\WINDOWS\system32\0042.DLL () :files C:\WINDOWS\System32\WORK.DAT C:\WINDOWS\System32\6334.exe C:\WINDOWS\System32\wupd.dat C:\WINDOWS\System32\0042.DLL C:\Documents and Settings\tania\Ÿ;Ÿ; C:\Documents and Settings\resr\Ÿ;Ÿ; C:\WINDOWS\System32\19718.exe C:\WINDOWS\System32\2995.exe C:\WINDOWS\System32\18716.exe C:\WINDOWS\System32\491.exe C:\WINDOWS\System32\17421.exe C:\WINDOWS\System32\9961.exe C:\WINDOWS\System32\12382.exe C:\WINDOWS\System32\16827.exe C:\WINDOWS\System32\292.exe C:\WINDOWS\System32\23281.exe C:\WINDOWS\System32\153.exe C:\WINDOWS\System32\28145.exe C:\WINDOWS\System32\3902.exe C:\WINDOWS\System32\5705.exe C:\WINDOWS\System32\14604.exe C:\WINDOWS\System32\24464.exe C:\WINDOWS\System32\32391.exe C:\WINDOWS\System32\26962.exe C:\WINDOWS\System32\5436.exe C:\WINDOWS\System32\29358.exe C:\WINDOWS\System32\4827.exe C:\WINDOWS\System32\11478.exe C:\WINDOWS\System32\11942.exe C:\WINDOWS\System32\15724.exe C:\WINDOWS\System32\19169.exe C:\Documents and Settings\resr\Mes documents\virus.doc C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\system32\config\systemprofile\Application Data\qvjsge.dat C:\WINDOWS\System32\helpers32.dll C:\Documents and Settings\NetworkService\Application Data\qvjsge.dat C:\Documents and Settings\tania\Application Data\avdrn.dat C:\Documents and Settings\tania\Ÿ9Ÿ9 C:\Documents and Settings\pierre\Ÿ9Ÿ9 C:\Program Files\Securityessentials2010 :reg [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "Shell"="explorer.exe" :commands [emptytemp] - Sauvegarde le fichier et nomme-le fix.txt - Mets ce fichier sur ta clé USB - Démarre sur la machine infectée avec le CD OTLPE dans le lecteur. > Double-clique sur l'icône OTLPE qui se trouvera sur le Bureau. >> On te demandera : "Do you wish to load the remote registry": clique Yes >> On te demandera : "Do you wish to load remote user profile(s) for scanning": clique Yes >> Assure-toi que "Automatically Load All Remaining Users" soit coché, puis clique OK - Insère ta clé USB (machine infectée) - Depuis la fenêtre de l'outil OTLPE, clique sur le bouton "Run Fix" ; > L'outil ne trouvera pas de "Fix" à exécuter alors il ouvrira une invite avec le message suivant : "No Fix has been Provided! Do you want to load it from a file? >> Clique Yes > Depuis la fenêtre de navigation, recherche maintenant le fichier "fix.txt" sur ta clé USB et sélectionne-le ; > Le contenu du fichier "fix.txt" devrait maintenant apparaître dans le fenêtre de l'outil ; > Clique à nouveau sur le bouton "Run Fix" > Patiente maintenant jusqu'à la création du rapport (C:\OTL.txt) > Colle le rapport sur ta clé USB. > Fais un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche), puis tente de redémarrer normallement avec la machine infectée, en retirant le CD OTLPE. Dis-moi si la machine fonctionne à présent, et colle le rapport de OTLPE également, dans ta réponse. @++ Mark

Bonjour lesquirol, Très bien joué pour OTLPE Il me faudra un peu de temps pour analyser tout ça et je ne pourrai le faire que plus tard ce soir (très tard en fait). Je te poste la suite dès que possible, et on verra si on peut te remettre la machine sur pieds, avec les 70 euros là où ils devraient être (dans ta poche lol). À très bientôt, Mark

Bonjour lesquirol ; je te souhaite la bienvenue sur nos forums J'ai très peu de disponibilités dans les jours qui viennent, mais je vais m'efforcer de passer quelques fois par jour afin d'assurer un suivi adéquat. Sale infection, celle-là. Puisque tu as la machine pro à ta disposition, ça ira mieux pour effectuer les manipulations. =========== Télécharge OTLPEStd.exe sur le Bureau, du lien suivant : http://ottools.noahdfear.net/OTLPEStd.exe > Le fichier fais plus de 90MB, donc ça peut prendre un certain temps, pour le téléchargement. > Tu dois impérativement avoir un graveur fonctionnel, et tu dois y mettre un disque vierge (CD ou DVD) ; > Lance le fichier OTLPEStd.exe ; > Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge. Il s'agit d'un ReatoGo bootable, nommé OTLPE, qui te permettra d'avoir accès à tes fichiers sur la machine qui ne démarre plus. > Démarre la machine infectée et insère rapidement le disque gravé, afin que le démarrage se fasse via ce disque. Si ça ne fonctionne pas du premier coup, redémarre la machine avec le disque dans le lecteur à nouveau. Si ça ne focntionne toujours pas, il faudra vérifier l'ordre du boot dans le BIOS et mettre le lecteur optique en premier. > Si tout va bien, tu démarreras sur l'environnement OTLPE ; > Double-clique sur l'icône OTLPE qui se trouvera sur le Bureau. >> On te demandera : "Do you wish to load the remote registry": clique Yes >> On te demandera : "Do you wish to load remote user profile(s) for scanning": clique Yes >> Assure-toi que "Automatically Load All Remaining Users" soit coché, puis clique OK > OTL devrait se lancer. Modifie l'option "Drivers" à "All", puis "Standard Registry" à "All". > Depuis ta machine pro, copie/colle le texte suivant (en vert) dans un nouveau fichier du Bloc-notes : /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe explorer.exe ntoskrnl.exe /md5stop %SYSTEMDRIVE%\*.* %systemroot%\*. /mp /s %systemroot%\System32\config\*.sav - Sauvegarde le fichier et transporte-le sur la machine infectée via clé USB. - Depuis l'environnement ReatoGo (OTLPE), ouvre le fichier texte qui est sur ta clé USB. - "Copie" le contenu du fichier, puis "Colle"-le dans la fenêtre "Custom Scans/Fixes" (au bas de OTL) ; - Clique maintenant sur "Run Scan" (au haut, à gauche). > Lorsque l'analyse sera terminée, un fichier texte sera créé : C:\OTL.txt ; > Copie/colle ce fichier sur ta clé USB, puis reviens sur la machine pro et poste le contenu du rapport ici, s'il te plaît. Ceci n'est qu'une analyse, donc ne réparera rien, pour l'instant. Il s'agit d'identifier les coupables, ensuite on passe à l'attaque. @++ Mark

Bon samedi Je viens de réaliser qu'il est possible que Windows Update ne t'offre pas le SP3, simplement parce que XP avec SP2 ou inférieur n'est plus supporté depuis Avril. Si c'est le cas pour toi, tu pourras alors télécharger le Pack directement et l'installer : http://www.microsoft.com/downloads/details...;displaylang=fr Conseil amical : désactive ton antivirus juste avant d'installer le Service Pack ; ça évite les ennuis et les ralentissements @++ Mark

Bonjour Christelle Excellente nouvelle pour les scans. Les virus en quarantaine ne sont pas dangereux, à moins que tu ne les remettes toi-même lol. C'est l'histoire du cerveau et des muscles : les bestioles en quarantaine ont été déplacées, alors les instructions ne trouvent plus le joueur. Vide les quarantaines pour avoir l'esprit tranquille Si la machine est toujours stable, tu peux faire les mises à jour quand tu veux. Viens me dire comment ça c'est passé. Si tu veux remettre un pare-feu, fais signe et je t'en conseillerai quelques uns. À bientôt, Mark

Bonjour Bob, C'est malheureux, mais nous devons arrêter là. Petite note : XP n'est maintenant supporté par Micorsoft qu'avec le SP3 installé, depuis Avril. Ceci implique qu'un XP sans le SP3 ne peut pas prendre de mises à jour. Pas de mises à jour = système de + en + vulnérable, avec failles non bouchées qui s'accumulent. Les infections en raffolent... Le mieux serait de mettre un beau Win7 tout neuf et officiel, si la config le permet ; sinon, XP SP3, ou bien Linux.. La machine boote toujours alors tu peux faire tes sauvegardes aisément, si ce n'est déjà fait. Bon succès pour la suite ..et prudence sur la toile, surtout. @++ Mark

Ben voilà une bonne nouvelle "Supprimer mes virus" ? As-tu des symptômes d'infection en ce moment ? Je te conseillerais de passer des scans avec Avast! et Malwarebytes' Anti-Malware (examen rapide). Pour ce qui des restaurations de sauvegardes de CCleaner : si tu crois avoir "remis des virus" en faisant cela, alors je peux te dire que ce n'est pas le cas. Pour faire une analogie simple : le registre est le cerveau du système et les fichiers exécutables sont les muscles ; une clé de registre envoie des instructions aux muscles. Si le muscle a été détruit et qu'on remet l'instruction en place, elle ne trouve pas son joueur... tout simplement, alors rien de néfaste ne se produit. Avast! et Malwarebytes' retireront quelques restes, le cas échéant.. Colle les rapports de ces deux analyses ici, si détections, et ensuite on regardera pour les MAJ @bientôt, Mark