Mark

Bonsoir Jokil159 ; je te souhaite la bienvenue sur nos forums Tout d'abord, merci pour ta franchise (j'insiste). Ce qui est arrivé sur Futura est essentiellement ce qui se fait sur plusieurs forums d'aide. Les Chartes prévoient la fermeture de sujets où un logiciel illégal est utilisé. De plus, comme tu l'as constaté, certains de nos excellents outils ne tournent pas sous ces environnements ; ça rend notre boulot (bénévole) quasi impossible. Non seulement il s'agit de supporter un programme/système illégal, mais nous risquons de perdre notre temps - le nôtre et le tien, aussi. Cela dit, cette infection est déjà très difficile à traiter sur des systèmes "entiers", alors tu peux imaginer sur un Windows Trust ou autre. Oui, tu as mal été conseillé(e). Ton XP SP3 tourne toujours ? Tu pourrais y transférer les données essentielles et repartir avec ? @+ Mark

Oui, c'est bien ça. Un redémarrage sera sûrement prescrit pour terminer la désinstallation. @+ Mark

Non-non, pas résolu tant que la machine n'aura pas un comportement plus... normal. Je veux t'accompagner encore pour un petit bout, surtout si tu désinstalles Comodo. Avec les infections, il peut toujours y avoir des surprises alors je préfère te guider jusqu'au bout. Pour les fichiers dans la quarantaine d'Avast! : pas de soucis, ils peuvent y rester indéfiniment sans aucun risque. Tu pourras vider la quarantaine lorsque la machine ira mieux, si tu veux. Veux-tu tenter la désinstallation de Comodo ? @+ Mark

Bien joué pour MalwareBytes' Pour ce qui est de Comodo : je pense qu'il pourrait être en cause. Ce pare-feu s'installe tout en profondeur dans le système et peut causer ce genre de soucis. Le nouveau Avast! 5 s'installe lui aussi tout en profondeur, et je me demande s'il n'y aurait pas incompatibilité entre les deux, sur ta machine. Je ne connais qu'un moyen pour vérifier : désinstaller Comodo. S'il est coupable, je pourrai te suggérer un autre pare-feu. @+ Mark

Rebonsoir Mouin, pas normal tout ça, en effet. As-tu fais l'analyse avec MalwareBytes' Anti-Malware ? Je me demande si Comodo ne serait pas responsable pour ces problèmes... Si MalwareBytes ne trouve rien, désinstalle le pare-feu Comodo et regarde si ça aide. @++ Mark

Merci pour les rapports On dirait bien qu'Avast ait réussi à bloquer l'infection. As-tu des symptômes ou signes qui t'indiquerait le contraire ? Des alertes douteuses de Comodo ou d'Avast! ? Je te propose tout de même un scan rapide avec MalwareBytes' Anti-Malware : ========== Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. @++ Mark

Merci pour les raports C'est un peu moins grave que ne le pensais au départ. Je te fais faire un autre scan diagnostique, qui devrait se faire beaucoup plus rapidement : ========= Télécharge DDS (par sUBs) du lien suivant et sauvegarde-le sur ton Bureau : http://download.bleepingcomputer.com/sUBs/dds.scr Désactive la protection résidente de ton antivirus ; tu pourras la réactiver lorsque l'outil aura produit son rapport Double-clique sur dds.scr afin de lancer l'outil Un fichier texte apparaîtra lorsque l'analyse sera terminée, nommé DDS.txt Clique Oui à l'invite suivante (Optional Scan) Sauvegarde ces deux fichiers texte sur ton Bureau Copie/colle seulement le contenu de DDS.txt ; conserve l'autre car je pourrais te le demander plus tard. Pourrais-tu également me dire si tu as utilisé d'autres outils récemment et, si oui, me mettre le(s) rapports ici si tu les as ? Si tu as passé un outil mais ne trouve pas le rapport, ne le relance pas ; tu peux juste me le signaler. @+ Mark

Ah oui je comprends parfaitement : la télé LCD avant le système d'exploitation dernier cri W7 est essentiellement un Vista allégé, avec quelques nouveautés. Le core de XP est celui de Windows NT, qui a aussi habité Win2000 et Vista (+ plusieurs versions "Serveur" bien sûr). C'est du bon. W7 est moins gourmand que Vista et (je pense) gère un peu mieux la mémoire. Tu vas aimer, j'en suis convaincu. Avec un iCore7 + CrossFire, ça va rouler Sur ce, je mets ton sujet en Résolu et te souhaite une excellente fin de soirée @++ Mark

Bonjour cbr1975 ; je te souhaite la bienvenue sur le forum Je regarde ça et soupçonne une infection pas très gentille... On va investiguer tout de suite : =========== Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : IAT/EAT Drives/Partition other than System drive (typically C:\) **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge l'outil suivant (de noahdfear) sur ton Bureau : http://noahdfear.net/downloads/HAMeb_check.exe > Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse, en plus du rapport de GMER (Ark.txt). Merci, et @+ Mark

Merci... Tu sais, le boulot accompli ici n'était pas simple ; c'est un travail d'équipe et tu t'es fort bien appliqué pour mettre tout ça en oeuvre. Face à de tels monstres/infections, le niveau de difficulté grimpe lorsqu'on tente de nettoyer sur les forums, alors il faut dire les choses de la façon la plus claire possible. La communication, quoi... On va maintenant terminer le petit nettoyage : ========= Tout d'abord, les fichier temporaires : Télécharge TFC.exe (par Old Timer) sur ton Bureau : http://oldtimer.geekstogo.com/TFC.exe - Ferme tous les programmes ouverts (enregistre le boulot en cours, le cas échéant). - Lance l'outil et clique sur "Start" ; - Lorsqu'il aura complété sa routine, il t'invitera à redémarrer la machine pour terminer le nettoyage : accepte. > S'il ne redémarre pas ta machine automatiquement, redémarre-là s'il te plaît. - Il n'y aura pas de rapport généré. ~~~~~~~~~~ Clique maintenant sur "Démarrer" > "Exécuter..." puis copie/colle (ou tape) la ligne suivante dans la boîte : ComboFix /uninstall (il y a un espace après "ComboFix") > Clique "OK" et tu verras une barre de progression ; c'est assez rapide. > Ceci désinstalle ComboFix proprement ; tu ne dois pas le conserver, de toute façon, car il est mis à jour fréquemment et, de plus, ne doit pas être utilisé sans supervision. Tu peux supprimer TFC.exe, ou tu peux le conserver pour du nettoyage de fichiers temporaires régulier. Je t'invite maintenant à défragmenter ton disque dur ("Démarrer" > "Tous les programmes" > "Accessoires" > "Outils système" > "Défragmenteur de disque"). Ceci pourra de redonner un peu de vitesse, surtout si tu ne l'as pas faite suite au formatage. === === Si jamais tu voulais regarder du côté de l'optimisation, tu pourrais lancer un sujet dans le forum dédié : http://forum.zebulon.fr/optimisation-secur...ention-f52.html Pour ton "XP" : je ne peux que t'encourager à installer un vrai Windows 7 le plus tôt possible. Pas juste pour la légalité de la chose, mais aussi pour la sécurité, qui est supérieure à celle de XP. Avec ton iCore, W7 va tourner rondement Fais gaffe aux téléchargements douteux. Voilà, je pense que c'est tout Si questions, pas de gêne. Bon surf, et sois prudent @++ Mark

Y a vraiment pas de quoi (tu peux continuer ) C'est bon, pas de fichiers .zip injectés. Je suis un peu surpris, mais bon, il m'est arrivé de lancer Bagle ici et il n'infectait pas les archives, quoique... il le faisait 8 fois sur 10. Tu es dans le 20% des chanceux, on dirait Je dois filer dans 5 minutes alors je n'ai pas le temps de terminer le nettoyage. Rien d'urgent par contre. Je repasserai durant la nuit. N'oublie pas de remettre le bouclier d'AntiVir, si ce n'est déjà fait. Tu peux supprimer l'outil Zip_Scan et son rapport tout de suite. À très bientôt, Mark

Merci à Google (je ne connaissais pas). Non, je suis au Québec (GMT -4, heure d'été). Pour ce qui est de Daemon Tools, ça se replace souvent après quelques redémarrages ; ComboFix le désactive, en effet, car il nuit terriblement lors des analyses en profondeur. Si ça ne revient pas à la normale, tu pourras le réinstaller. Pour l'optimisation de la machine : ce n'est pas mon fort, mais on pourra tenter quelques trucs simples, et peut-être te rediriger vers le forum Optimisation pour reprendre avec des connaisseurs. ============== On fait un peu de ménage dans les outils : - Supprime HAMeb_Check.exe, ainsi que le rapport qu'il a généré. - Pour l'autre outil (HelpAsst_mebroot_fix.exe), il faut faire ceci : "Démarrer" > "Exécuter...", puis tape la ligne suivant dans la boîte et clique "OK" : helpasst -cleanup (il y a un espace après "helpasst") - Finalement, supprime l'outil HelpAsst_mebroot_fix.exe sur le Bureau. ============== ============== Pour Bagle maintenant, voici ce que je te propose : - Désactive le bouclier d'AntiVir temporairement, sinon il pourrait te bouffer tes fichiers .zip en entier. - Prends le ou les CDs de sauvegardes, puis dépose tous les fichiers .zip que tu y trouves dans un nouveau dossier, sur le Bureau de la machine. Ceci permettra leur désinfection. - Ensuite : Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau : http://eric71.geekstogo.com/beta/ZSc.exe Lance l'outil ZSc.exe par double-clic Clique maintenant sur le bouton "Scan", au bas à gauche Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à l'infection Bagle ; Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran ; ce rapport est également sauvegardé sur ton Bureau (scan.txt) Copie/colle le contenu intégral de ce rapport ici, dans ta réponse. Tu dois maintenant fermer l'outil en cliquant sur le bouton qui se trouve au bas, à droite (le petit bonhomme). Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse. @++ Mark

J'ai 6 heures de décalage avec toi (derrière) Héhé. Merci pour les fleurs Pour ce qui est de l'infection que j'ai ciblée, ça me semble Oké. Toute une bête, avec contrôle à distance installé sur ta machine (qui n'y est plus). Pour ce qui est de Bagle, voici pourquoi j'ai demandé, pour les fichiers .zip : l'infection injecte un petit dossier, qui contient un fichier installateur Bagle, dans tous les fichiers .zip présents sur l'ordinateur. Étant donné que Bagle met l'antivirus HS, rien n'est détecté. Peu importe ce qui se trouve dans le fichier .zip (programme, photos, documents, etc...), Bagle y injecte un petit dossier avec fichier infecté. Ce fichier ne se lancera pas tout seul par contre ; pour ré-activer l'infection, il te faudrait ouvrir une archive (.zip), ensuite ouvrir le petit dossier et ensuite lancer ce fichier infecté. Les risques sont faibles, on se comprend, mais présents, si tu as des fichiers .zip sauvegardés. Là je dois quitter pour un petit moment, mais je repasserai te donner des instructions pour vérifier (Bagle). Ce sera simple et sans danger. Profite de ce temps pour surfer (prudemment) ou même juste utiliser la machine normalement, juste pour voir si tout demeure stable. Je repasse dès que possible. @+ Mark

Bonjour Bravo pour le travail ! Deux questions : 1) Comment se comporte la machine, suite à ces manipulations ? 2) Suite à l'infection Bagle, avais-tu fais des sauvegardes avant formatage et, si oui, as-tu sauvegardé des fichiers .zip perso ? Merci, et à plus tard. Mark

Merci pour ce rapport, et les détails En souhaitant que la machine infectée tienne le coup, voici la suite : =============== Avis aux visiteurs : cette procédure est personnalisée pour la machine d'Elric _Brothers *Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus. Dans ton cas, tu peux probablement suivre via la machine saine ; c'est Oké. Je t'invite à lire les instructions d'abord, puis tu pourras les exécuter. Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) : http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe (pour XP seulement) - Ferme tous les programmes lancés/ouverts. - Lance l'outil par double-clic et suis les invites. - Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine. - Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. **Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : mbr -f (il y a un espace après "mbr") - Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f) - Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt). - Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ; - Patiente 5 minutes, après le démarrage (ne lance rien). > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ===== *Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sur une note un peu plus légère, j'ai une autre question pour toi : quel(s) processeur(s) tournent sur ta machine actuellement ? Ma boule de cristal me dit qu'il y a 8 coeurs actifs, mais j'ai peine à y croire Te gêne surtout pas si tu as des questions, avant de foncer. Bon succès, et à bientôt. Mark

Bonjour Elric_Brothers ; je te souhaite la bienvenue sur nos forums Désolé pour le délai. La charge de travail est... passablement lourde. Désolé pour le formatage causé par Bagle aussi ; l'infection se traite assez bien sur les forums, généralement. Ce coup-ci, c'est autre chose. Tu avais une infection du Master Boot Record, que ComboFix a nettoyée, mais juste partiellement, d'après ce que je vois. Tu sembles également avoir une version altérée de Windows XP, ce qui peut gêner les manipulations de désinfection. On verra... Je te propose un outil simple à lancer, pour l'instant : ========== Télécharge l'outil suivant (de noahdfear) sur ton Bureau : http://noahdfear.net/downloads/HAMeb_check.exe > Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse. Question : utilises-tu le Bureau à Distance sur cette machine, pour des prises de contrôle à distance ? @+ Mark

Bonjour johngotti Ça semble résolu d'après ce que je vois. Sois prudent, sur la toile. @+ Mark

Bonjour johngotti ; je te souhaite la bienvenue sur nos forums Infection très en vogue en ce moment. Voici ce que tu dois faire maintenant : ========== Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : IAT/EAT Drives/Partition other than System drive (typically C:\) **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse. @+ Mark

Bonjour à vous deux Juste pour info : Le fichier analysé est un pilote de l'outil AVZ, tel que vu par ComboFix : L'infection Bagle utilise un pilote de l'outil AVZ (celui-ci) pour détruire les antivirus et pares-feu, ce qui explique les (fausses) détections par certains antivirus, qui ne savent pas faire la différence. Si vous regardez bien : AntiVir, Kaspersky, BitDefender, NOD32 et Microsoft ne détecte rien sur le fichier ; ce sont là de bons antivirus pour l'infection Bagle et ils ont su ignorer le fichier d'AVZ, eux ComboFix a bien bossé sur l'infection TDSS Bonne continuation à vous deux. Mark

Bonsoir Ah c'est super pour ton multi boot Là c'est l'autre XP que tu scannes ? AntiVir ne devrait pas mettre des heures... à moins qu'il n'y ait quelque chose qui cloche vraiment sur la partition. Je vais donc attendre le résultat de l'analyse et on pourra ensuite terminer avec la partition infectée par Bagle. On fera l'autre aussi, si besoin @++

Bonsoir obrigadoo, Je commençais à m'inquiéter Voilà de bonnes nouvelles ! Il nous restera un peu de ménage à faire, dans les outils surtout. Quelques questions d'abord : - Comment va ton multi boot ? Je ne suis pas expert en la matière, mais je peux me renseigner si jamais t'as besoin d'aide à ce niveau. Ça ne devrait pas être trop compliqué de te remettre un gestionnaire de boot. - Plus de signes d'infections ? AntiVir ne bippe pas et fonctionne bien ? - Aimerais-tu qu'on regarde pour l'autre XP, juste pour nous assurer qu'il n'est pas infecté ? À te lire Mark

Où avais-je la tête... Tu ne peux pas activer les boucliers d'AntiVir avant d'avoir nettoyé ces archives, sinon il va hurler dès que tu vas en ouvrir une. Le nettoyage des fichiers .zip devra être effectué avec AntiVir désactivé. Dès que tu auras terminé le nettoyage, vérifie avec Zip_Scan (option "Scan") pour confirmer que tout est propre de ce côté. Ensuite, tu actives les boucliers d'AntiVir et puis tu fais un examen complet de la machine. Bon succès Mark

Salut L'outil n'aime pas les grosses archives. Pas bien grave, tu peux effectivement supprimer à la main, mais juste les dossiers nommés "crack", "patch" ou "keygen" qui se trouvent à l'intérieur des archives (fichiers .zip). Il ne faut simplement pas double-cliquer sur les fichiers qui se trouvent dans ces archives, car se sont des installateurs Bagle. De toute façon, si les boucliers d'AntiVir sont en fonction, tu serais protégé en cas d'accident. Mais nous avons parfois affaire à de nouvelles variantes qui ne sont pas connues des antivirus alors il faut toujours être prudent. Cela dit, ouvre chacune des archives détectées avec l'option "Scan" manuellement et supprime les dossiers en question. Ceci fera le boulot parfaitement et les archives seront à nouveau saines. Non, il n'existe pas d'outil similaire à Zip_Scan, qui a été conçu spécifiquement pour traiter cet effet secondaire de Bagle. Le faire à la main c'est aussi bon, mais juste plus long. N'oublie pas de faire un examen complet avec AntiVir après @+ Mark

Bonjour Oui-oui, tu laisses à "Delete" : l'outil désinfecte les archives (fichiers .zip) en supprimant le dossier (crack, patch ou keygen) + fichier infecté qui se trouve à l'intérieur. @toute

Bonjour obrigadoo Désolé pour le délai... Je préparais ma réponse en soirée et mon FAI a connu une panne assez importante ; j'ai dû quitter par la suite. Un "faux positif" signifie un fichier sain, détecté comme étant nocif. Ce n'est pas fréquent mais ça arrive, avec n'importe quel outil ou antivirus d'ailleurs, alors nous préférons être prudents et vérifier avant de prescrire la désinfection ou la suppression dans ce cas-ci, car il n'y a pas de quarantaine. Les fichiers .zip que tu as là me semblent tous être infectés par Bagle, effectivement, alors tu peux poursuivre avec leur désinfection. Voici comment faire : > Lance Zip_Scan à nouveau et clique sur "Scan" ; un rapport apparaîtra à l'écran en fin d'analyse. Tu peux fermer ce rapport mais ne ferme pas l'outil. > Clique maintenant sur le bouton "Disinfect" : le nettoyage sera assez rapide et un rapport apparaîtra à l'écran, nommé "kill.txt" > Copie/colle le contenu de ce rapport dans ta réponse ici. **Note : si jamais le programme ne complète pas le nettoyage et retourne une erreur, ferme-le et relance-le pour un "Scan" seulement, et poste le rapport ici (ce rapport sera nommé "scan.txt"). Si l'outil a bien tourné, sans erreur, tu pourras ré-activer le bouclier d'AntiVir et faire une analyse complète de la machine avec ce dernier ; permets-lui de tout réparer/nettoyer ce qu'il trouve. Copie/colle son rapport ici également, s'il te plait. Bon succès Mark