Mark

Désolé... j'ai édité mon message précédent après avoir constaté mon erreur. Pas de fichier nécessaire Tu peux passer le fix avec OTL sans soucis (celui-là est pour toi..) @+

Rebonjour ; Merci pour ce rapport On voit bien un Service d'Ad-Aware toujours en fonction, ainsi qu'une valeur dans le registre. On va dégager ça... As-tu uploadé le fichier détecté par Kaspersky ? Je n'ai pas reçu ton message.. Edit : désolé, me suis trompé de discussion pour le fichier. Ce n'est pas toi lol. Voici la suite : =========== Lance OTL par double-clic, puis copie le texte en bleu/gras ci-bas (sélectionne tout avec ta souris, clic droit et choisis "Copier") : :OTL DRV - [2009/04/23 13:19:36 | 00,064,160 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd) O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () :Commands [emptytemp] [Reboot] > Dans la fenêtre de l'outil, fais un clic droit (souris) dans la fenêtre Custom Scans/Fixes et choisis "Coller". > Clique sur le bouton "Run Fix" (au haut, à gauche). Laisse-le bosser. OTL va redémarrer ta machine. Un rapport (OTL.txt) va apparaître à l'écran : copie/colle son contenu ici, s'il te plait. @+

Bonjour trapier88 Oui, il faut les supprimer. Mais avant de le faire, j'aimerais bien récupérer celui détecté par Kaspersky, pour analyse. C'est tout simple : Va sur le site de Senduit : http://www.senduit.com/ - Clique sur "Parcourir..." et trouve le fichier suivant : C:\Program Files\eMule\Incoming\VeryPDF PDF Editor v2.0 WinALL Incl Keygen by ViRiLiTY(1).zip - Double-clique dessus pour le sélectionner. - Ne clique pas sur "Upload" tout de suite ; modifie l'option "Expire in:" (juste au dessous) à 3 days - Clique maintenant sur "Upload" et patiente un brin ; - Lorsque la remontée sera terminée, une adresse apparaîtra dans la boîte (en bleue) ; copie/colle cette adresse (URL) dans un fichier du Bloc notes afin de la conserver ; - Reviens sur le forum et clique sur mon profil (à gauche) afin de m'envoyer ce lien (URL) par messagerie perso, s'il te plait. Tu peux maintenant supprimer les fichiers. Merci Si la machine ne se réinfecte pas, ça devrait aller. On fera juste un peu de nettoyage/ménage par la suite. @+ Mark

Bonjour Yohan Zonk m'a informé de vos échanges hier. C'est un peu complexe, ce processus d'Ad-Aware qui s'exécute au démarrage (le Boot Cleaner) ; il y a une valeur dans le registre qui contrôle ça et elle ne se trouve pas simplement en cherchant avec les mots clé "Ad-Aware" ou "Lavasoft". On va donc regarder de plus près... ======= Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/OTL.exe - Lance l'outil par double clic ; - Depuis l'écran principal de l'outil, paramètre les options suivantes (si ce n'est déjà fait) : >> Sous Extra Registry, coche Use SafeList >> Vers le haut, coche Scan All Users - Clique maintenant sur le bouton "Run Scan" - Deux rapports seront générés par OTL, soient OTL.txt et Extras.txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches. - Copie/colle le contenu des deux rapports ici, dans ta réponse, s'il te plaît. @+

Bonsoir à vous deux, et désolé pour la petite intrusion ; Je remarque que la variante présente cette fois-ci n'est pas la même que lors du passage précédent de FindyKill ; bizarre... Il peut y avoir une ou deux explications pour ça, mais on ne pourra pas vérifier car l'outil n'a pas de quarantaine alors impossible d'analyser les fichiers détruits. Cette fois-ci par contre, deux réinfecteurs ont été neutralisés alors souhaitons que la bête ne revienne plus. Les nouvelles variantes se succèdent rapidement on dirait et nous n'avons pas d'échantillons... dommage. Autre point : nouvelle variante signifie que l'antivirus risque de ne pas voir si d'autres fichiers infectés existent sur la machine. Dis-nous si la machine se réinfecte : on passera peut-être un autre outil pour tenter de récolter des spécimènes... Dernier point : tu dois également désinstaller AntiVir, redémarrer, puis le réinstaller. @+

Merci pear J'ai tardé à revenir ; désolé pour ça. Je vais attendre le retour de johan1 pour ce qui est de la tâche planifiée. Ensuite, si nécessaire, je poursuivrai l'enquête pour éventuellement retirer tout ce qui est Ad-Aware @++ Mark

Bonsoir Johan C'est légitime, du programme Ad-Aware. Il permet le nettoyage de fichiers au démarrage. @+ Mark

Rebonsoir Ali007 ; Que voudrais-tu éditer, exactement ? Ça peut s'arranger, si pertinent. Tu peux déjà éditer tes messages, mais pas les supprimer. Je vais t'expliquer, pour le Windows de ton copain : il s'agit d'une version lourdement altérée qui n'est pas disponible chez Microsoft. Une version qui est donc illégale, comme beaucoup d'autres d'ailleurs. Sur nos forums, nous ne fournissons pas d'aide lorsqu'un système d'exploitation est illégal et les sujets sont fermés. Non seulement le système n'est pas légal, mais il est modifié donc ça devient difficile voire impossible pour les bénévoles d'aider convenablement ; on le constate ici avec ComboFix, mais y a d'autres outils que ne tourneraient pas et, par surcroît, pourraient endommager la machine. De plus, nous ne pouvons tout simplement pas aider dans de tels cas car nous ne supportons pas les comportements illégaux. Le seul conseil que nous pouvons fournir face à une telle situation : mettre un système d'exploitation légal. Le sujet sera verouillé bientôt, mais je te laisse poster pour ce qui est de la suppression éventuel d'un message, le cas échéant. Ou tu peux le faire par MP (messagerie), si tu préfères. @+ Mark

Bonsoir Ali007 ; C'est encore moi Thanos vient généralement très tard en soirée alors je vais simplement tenter de faire avancer le schmil un brin : As-tu le rapport log.txt (de l'outil RSIT), demandé par Thanos dans son dernier post ? Et qu'en est-il de la version de Windows sur la machine de ton copain : c'est bien un Windows Trust ? Merci

Bonjour à vous deux Juste de passage rapide... C'est pas un Windows Trust, ça ? ComboFix ne l'aime pas car un espèce d'hybride Windows Server 2003 / XP. Les versions Server ne sont pas compatibles avec ComboFix. Une installation de Windows Trust signifie une installation modifiée de Windows et c'est... illégal, à moins d'avoir une entente explicite avec Microsoft. Je laisse Thanos terminer le sujet Voilou Mark

Y a pas de quoi Attaquer cette infection est toujours un plaisir pour moi... quelle saleté. Ce fut tout un challenge cette fois-ci, j'avoue. Non seulement Outpost (corrompu) te bloquait la connexion, mais y avait SS qui bloquait un processus sans pouvoir rien faire de plus et, pour notre plaisir, Spyware Guard qui a lui aussi bloqué partiellement l'infection mais aussi nos tentatives de désinfection. Ouff, j'ai dûment noté tout ça pour une prochaine fois. ==== Tu peux réinstaller Spy Sweeper si la licence est toute fraîche ; il n'est pas horrible et offre des boucliers. Son problème : il connait mal les nouvelles bestioles si on le compare à MBAM par exemple, ou même à SUPER Antispyware. MBAM est au top actuellement et risque d'y être pour un sacré bout, quand on constate l'équipe qui est derrière, la motivation et la passion... Un conseil amical : lorsque la licence de SS sera échue, investis dans MBAM. Étant donné que SS fait tourner des boucliers, il ne faut pas remettre Pest Patrol, Spyware Doctor ni Spyware Guard ; ça pourrais créer des conflits. Même chose pour Tea Timer : il est dépassé et peut ultimement nuire lorsqu'une infection pénètre car il la protège, malgré lui. On récapitule : AntiVir (Premium ou Free) + Outpost Pro (avec HIPS = module comportemental de prévention d'intrusions de l'hôte) + SS et ses boucliers. Ça devrait suffire, quoique tout dépend de l'utilisation du PC. Je ne t'apprends rien à ce sujet... Pas de comportements à risque = pas d'infections. eMule sur la machine, c'est déjà une grande porte ouverte pour les infections, mais à toi (vous) de gérer de votre mieux. Pour ce qui est du mot de passe sur le BIOS : je n'ai jamais fait ça ici, mais pourquoi pas. Tu peux certainement le remettre maintenant que la machine est propre. Maintenir Windows à jour est essentiel, tout comme l'antivirus. Le passage à Windows 7 vous donnerait plus de sécurité et flexibilité niveau configurations/restrictions, mais je comprends que cela ne soit pas toujours possible - tout de suite.. ===== ===== On fait le nettoyage des outils de désinfection maintenant : 1) Clique sur le bouton "Démarrer" >> "Exécuter...", puis copie/colle la ligne suivante dans la boîte et clique "OK" : ComboFix /Uninstall Une fenêtre de progression t'indiquera l'état de la désinstallation. C'est rapide. 2) Lance FindyKill (nommé "Setup.exe" avec icône de seringue) et choisis l'option de désinstallation (la 4 je crois). C'est rapide. Si l'outil se retrouve toujours sur ton Bureau après la manip, supprime-le. 3) Lance OTL.exe et clique sur le bouton "CleanUp" (au haut, juste sous "Scan All Users"). C'est tout. Si j'ai oublié quelque chose ou si tu as des questions additionnelles, pas de gêne surtout. Je vous souhaite une excellente année 2010 ; du bonheur, de la santé pour vous et pour le PC @++ Mark

Bon samedi Oui, c'est la fin de Bagle... il nous aura fait suer un brin Spyware Guard fait maintenant partie de la race des dinausores, relativement parlant ; il n'a pas été mis à jour depuis des années. Il s'agit d'une protection dite comportementale, alors les mises à jour sont moins importantes si on compare à un programme qui utilisent une identification par signatures spécifiques. Spyware Guard peut être efficace en 2010, mais on peut faire beaucoup mieux (je t'en reparle) et, dans ton cas, il n'aura pas su stopper l'intrus complètement. Spy Sweeper et Pest Patrol ne figurent pas parmis les "bons" en ce moment, car leurs détections souffrent beaucoup avec les bestioles courantes. a-squared, bof, il est acceptable quoique que très connu pour ses faux positifs. Spyware Doctor, lui, n'est pas dans ma liste de préférés. Outpost, quant à lui, est un excellent pare-feu avec analyse comportementale. Il aurait dû, selon moi, stopper Bagle à la porte, mais il ne l'a pas fait. Un problème souvent rencontré avec les pares-feu : un utilisateur le ferme pour télécharger, ou bien lui dit simplement d'ignorer lorsqu'il y a détection d'intrusion. Si un seul utilisateur de la machine décide de créer des règles d'exclusions ou bien d'ignorer des alertes, c'est cuit. Pour les antivirus : McAfee n'est pas au top, loin de là. AntiVir, même en version gratuite, lui est de loin supérieur selon moi. Dans les payants, il y a Kaspersky et Nod32 qui performent toujours au top ; AntiVir Premium est là aussi et offre quelques fonctionnalités de plus que la version de base (module anti-spy, bouclier en temps réel pour emails, anti-phis, web guard...) mais les deux versions offrent la même base virale donc détections identiques. ===== Mon conseil : tu peux remettre Outpost, qui est excellent ; tout dépendra de l'utilisation. Tu peux également conserver AntiVir Free qui fait le boulot côté virus/vers/trojans. Il y a aussi la suite de Kaspersky (antivirus + pare-feu) qui se classe première dans plusieurs tests pour ce qui est des suites complètes. Le module d'analyse comportementale est très fort chez Kaspersky. Il y a aussi un module de contrôle parental inclus, qui peut être intéressant, mais je ne l'ai jamais testé. La suite inclus tout le patatra technique : anti-spam, anti-phis, anti-spy, anti-rootkit. Aucun programme n'est parfait et ne prétend l'être, mais ce produit-là est fort. Une combinaison AntiVir + Outpost peut être aussi performante par contre. Kaspersky antivirus (seulement) + Outpost aussi. Online Armor est un autre excellent pare-feu, semblable à Outpost (versions free et payantes dispo). Les combinaisons possibles sont multiples... J'ajouterais à ça : Malwarebytes' Anti-Malware avec licence. Cette version propose les maj auto mais aussi un bouclier anti-spy ainsi qu'un module de protection IP ; ce dernier est très efficace en tant que contrôle parental indirect (lol). Chose à ne pas oublier : jamais deux ou + antivirus sur la machine ; même chose pour les pares-feu. Pour les programmes anti-spy, il faut doser. Tu peux faire quelques recherches pour te faire une idée. On s'en reparle... ==== ==== La machine va toujours bien ? Si oui, on fera du ménage dans les outils de désinfection utilisés. J'attends ton signal et je te prescris ça. @+ Mark

Ah ? Était-ce donc Spyware Guard, le coquin ? Pourrais-tu refaire un scan avec FindyKill > option #1 s'il te plait... et colle son contenu ici. Si tu peux venir ici, ça sent la fin pour Bagle @+

On se reparle de logiciels lorsque tout sera propre, sans faute Je vais te demander un tout dernier scan, avec OTL (que tu as déjà), mais avec paramètres différents cette fois-ci. Une section d'analyse n'apparaît pas sous "Quick Scan", alors il me faut ceci, s'il te plait : ====== - Lance l'outil OTL.exe par double clic ; - Depuis l'écran principal de l'outil, paramètre l'option suivante ; >> Vers le haut, coche Scan All Users - Clique maintenant sur le bouton "Run Scan" - Un seul rapport sera généré par OTL cette fois-ci, soit OTL.txt ; - Copie/colle le contenu du rapport ici, dans ta réponse, s'il te plaît. === Je vais également te demander de désinstaller Spyware Guard (via le désinstallateur de Windows ou bien avec Revo - ton choix). Tu peux laisser Spyware Blaster (il ne nuit pas). Une petite note pour terminer : Bagle est toujours actif sur le PC. Ceci implique qu'il a le contrôle de ta machine et télécharge des trucs. De plus, il utilise un client eMule installé par lui-même pour transformer ta machine en mini serveur P2P. Il faut donc limiter le temps de connexion au maximum (ou devrais-je dire au minimum)... et je fais de mon mieux pour te le dégager @+

Ah ben dis donc... c'est tout un mystère que nous avons là Je suis désolé pour Total Uninstall... j'ai posté sans revérifier : c'est Revo Uninstaller qui est sur ta machine (l'autre est sur la mienne lol). Les deux sont semblables. Revo est capable de protéger ses sauvegardes et je me demande... mais je ne l'ai pas ici. Ouvre le programme et regarde un brin ; ne désinstalle rien via son interface car ça peut être risqué sans instructions précises. Je vais peut-être l'installer ici plus tard, pour tester... Je poursuis les recherches et je reviens dès que possible. Peux-tu me dire quel est le problème avec ton compte, pour le mode Sans Échec ? Et est-ce récent ? @++

Tu n'as pas accès à ton compte usuel (qui doit être un compte admin) ? C'est bizarre ça... Non, ne modifie rien ; tu peux utiliser le compte "Administrateur" ou l'autre (admin) ; je préfère le compte usuel simplement parce que tout est sur ton Bureau. Pour lancer Malwarebytes', pas de soucis pour le choix du compte, mais il faut un compte admin. Je pense à autre chose, après que tu auras passé MBAM en Sans Échec : Il y a un programme nommé "Total Uninstall" sur la machine ; tu devrais le retrouver sous "Programmes". Pourrais-tu le lancer, regarder la liste des programmes surveillés et me refiler l'info s'il te plait ? À toute Mark

Merci Attends un peu pour Acronis. J'ai édité mon message précédent car je ne t'avais pas vu au bas. Je t'ai laissé des instructions pour lancer Malwarebytes' Anti-Malware en mode Sans Échec. À bientôt, Mark

Merci pour ce rapport Bon, j'ai de l'étude à faire lol. Je vais décortiquer tout ça et ça risque de me prendre un certain temps. Juste deux questions rapides : - As-tu désinstallé Pest Patrol ? - Utilisez-vous Acronis sur la machine et si oui, pour quelles fonctions ? J'ajusterai mes recherches en fonction de tes réponses. Merci... Mark Edit/ajout : en plus des questions ci-haut, je vais te faire faire quelque chose : Tu as Malwarebytes' Anti-Malware sur la machine, alors je vais te demander de le lancer et de le mettre à jour (seulement, pas de scan). Tu verras l'onglet "Mise à jour" au haut. Lorsque la mise à jour sera complétée, ferme le programme. Ensuite, redémarre la machine en mode Sans Échec : - Redémarre le PC et appuie sur la touche F8 à répétition, après le "bip" sonore (juste après l'ouverture de l'écran pour le BIOS) - Choisis le mode "Sans Échec" et valide [Entrée] - Choisis ton compte usuel, et non le compte "Administrateur" - Lance Malwarebytes' Anti-Malware pour une analyse rapide. - Laisse-le réparer toutes les détections, le cas échéant. - Un rapport sera créé ; sauvegarde-le sur le Bureau - Si le programme doit redémarrer pour terminer le nettoyage, accepte. - Si MBAM a redémarré, tu seras maintenant en Mode Normal (parfait), sinon redémarre la machine toi-même pour revenir en Mode Normal. - Transporte le rapport sur le portable (si nécessaire) puis colle son contenu ici, dans ta réponse. @++

Merci à nouveau pour le rapport Bon, y a vraiment autre chose qui protège l'infection ; une application probablement, et je dois l'identifier sinon Bagle ne quittera jamais. Voici la suite, un outil diagnostique seulement, pour l'instant. Tu peux le télécharger via le PC infecté ; si ça coince, prends-le sur le portable et transporte-le : ========== Télécharge OTL (de Old Timer) et sauvegarde-le sur ton Bureau : http://oldtimer.geekstogo.com/OTL.exe - Lance l'outil par double clic ; - Copie/colle la liste suivante (en gras) dans la boîte "Custom Scan/Fixes" : netsvcs %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles - Clique maintenant sur le bouton "Quick Scan" ; l'analyse peut durer quelques minutes. - Ne pas modifier aucun réglage sauf si prescrit. - Deux rapports seront générés par OTL, soient OTL.txt et Extras.txt : l'un sera ouvert (Bloc-notes) et l'autre réduit dans la barre des tâches. - Copie/colle le contenu des deux rapports ici, dans ta réponse, s'il te plaît. @ bientôt Mark

Bonjour agenor47 Tout d'abord, merci pour le fichier. J'ai pu faire quelques tests ici, grâce à lui. Il s'agit bien d'une variante toute récente, inconnue de plusieurs bons antivirus dont AntiVir, Microsoft et Kaspersky pour ne nommer que ceux-là. Le fichier a donc rapidement été envoyé aux éditeurs (merci à Falkra ). Mes essais ont pu démontrer que FindyKill et ComboFix, mêmes versions que celles que tu as présentement, n'ont aucune difficulté à identifier et virer la bête. Alors pourquoi ça ne fonctionne pas sur ta machine ? Je reviens à ma remarque initiale : trop de protections... D'après ce que tu m'as dit hier, je pense que c'est Spy Sweeper le responsable, mais bien malgré lui. La seule façon de vérifier l'hypothèse : désinstaller le programme. Y a Pest Patrol que je vois là, aussi, qui pourrait nuire à nos efforts. a-squared et Windows Defender n'ont pas la réputation de bloquer les outils. Si tu possèdes des licences pour SpySweeper et Pest Patrol, pas de soucis, tu pourras les remettre après le nettoyage. Je t'en suggérai des meilleurs, si tu veux (gratuits ou payants). Voici ce que je te propose : ===== > Désinstalle Spy Sweeper et Pest Patrol complètement. > Repasse FindyKill avec l'option #2 > Colle son rapport ici pour vérification. > Essaie de surfer jusqu'ici avec la machine... À bientôt, Mark

Bien joué Merci pour ce rapport. J'aurai à te préparer une procédure assez longue et le temps me manque actuellement (désolé), mais je repasserai, probablement aux petites heures. Je soupçonne en effet une variante que nous n'avons pas encore vue, alors il restera un peu de boulot. Pas grave, nous devrions y parvenir sans trop de problèmes Quelques questions : Comment se comporte la machine ? Si tu peux surfer avec jusqu'ici, ça serait déjà un bon signe. Pas grave si tu ne peux pas ; on va corriger ça bientôt.. AntiVir a survécu ? Il te donne des alertes ? Je vois un pilote d'outil nommé AVZ, qui est assez pointu et puissant : tu peux t'informer si c'est bien quelqu'un chez vous qui l'a installé ? Je suis juste curieux... Petite note : s'il s'agit d'une nouvelle variante de Bagle, il est fort probable qu'il se réinstalle à chaque démarrage alors ne soit pas surpris. On trouvera le coupable... ================= Je vais te demander de m'uploader un fichier à nouveau, via Senduit (comme l'autre jour - même manip) : Va sur Senduit depuis la machine infectée : http://www.senduit.com/ > Clique sur "Parcourir..." et retrouve le fichier suivant (suivre bien attentivement le chemin) : C:\Qoobox\Quarantine\C\Documents and Settings\Parents.CAUJOLLE-381D1A\Application Data\drivers\winupgro.exe.vir << > Modifie l'option "Expire in:" à "3 days" > Clique sur "Upload" > Une adresse te sera fournie : copie/colle cette adresse dans un fichier du Bloc-notes > Tu devras cliquer sur mon profil afin de m'envoyer ce lien par messagerie perso : tu peux le faire de la machine infectée mais tu devras alors me retrouver via la liste des membres du forums car tu ne pourras venir ici dans le sujet. Ou bien tu le fais via la portable. **Ne pas mettre ce lien sur le forum car il s'agit d'un fichier très nocif** Je vais regarder le fichier plus tard et je pourrai ensuite te prescrire la suite. Merci et à plus tard

Bonjour agenor47 FindyKill a finalement trouvé, mais j'ai un doute car je ne vois pas tout ce que Bagle fait, d'habitude. Comment va la machine à présent ? AntiVir a-t-il survécu ? Ce dernier a détecté des bestioles qui ne sont pas du Bagle alors nous devrons pousser l'investigation un brin ; ça permettra également de dépister du nouveau Bagle, si présent. Sans plus tarder, voici la suite : ===== Je vais te demander de télécharger le prochain outil via le portable de ton épouse, pour ainsi minimiser les risques de corruption. Il faudra également le renommer avant de le mettre sur le PC infecté. Voici la démarche : Télécharge ComboFix (via le portable) du lien suivant : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Selon les réglages sur le portable, tu pourras avoir soit "ComboFix" ou bien "ComboFix.exe" Un ou l'autre c'est Oké. Il faut maintenant le renommer (clic droit sur l'outil > "Renommer") ; Si son nom était "ComboFix" (sans extension), alors renomme-le en agenor Si son nom était "ComboFix.exe", alors renomme-le en agenor.exe > Transporte-le maintenant sur le PC infecté et mets-le sur le Bureau. > Désactive temporairement l'antivirus (AntiVir) : fais un clic droit sur son icône près de l'horloge (le parapluie) et clique sur "Activer AntiVir Guard" afin de le décocher. > Lance l'outil (agenor.exe) par double-clic ; > Si Bagle est toujours présent, l'exécution de ComboFix sera plutôt lente alors tu devras patienter ; > Tu auras droit à une fenêtre d'avertissement avec quelques info : valide (Oui) > Tu devrais avoir une invite qui te propose d'installer la Console de Récupération : accepte. > Suite à l'installation de la Console, l'outil te demandera si tu veux poursuivre avec une analyse : valide (Oui). > Si un rootkit est présent, ComboFix t'en avisera ("...Une activité de rootkit a été détectée...") et te proposera de redémarrer la machine : accepte. > ComboFix tourne généralement en 10 minutes ou moins, mais avec un Bagle actif, ça peut grimper à 25+ minutes ; ceci est normal. > Lorsqu'il aura complété son travail, un rapport apparaîtra à l'écran (log.txt) et ce même rapport est automatiquement sauvegardé à la racine du lecteur système >> C:\ComboFix.txt > Colle le contenu de ce rapport ici, dans ta prochaine réponse. Un guide complet d'utilisation pour ComboFix se trouve ici, si jamais : http://www.bleepingcomputer.com/combofix/f...iliser-combofix Dis-moi comment ça va avec la machine à présent. @+ Mark

Merci pour le rapoprt et les détails Ah zut, si le navigateur se ferme ici, c'est bien Bagle qui fait ça, donc il est là. Ceci est probablement dû à la désinstallation de ton pare-feu qui a permis à Bagle de prendre racine. Je savais que c'était possible et il fallait passer par là, de toute façon. Bon Oké, maintenant il faut repasser FindyKill avec l'option #2 et ensuite tu postes le rapport ici. Petite note : si tu veux voir autre chose que la section ici fermer le navigateur, tu n'as qu'à lancer Google et faire une recherche pour les termes suivants : Malwarebytes ou HijackThis Ce ne sont que deux exemples.. Alors repasse FindyKill avec option #2 Si l'outil ne trouve pas, alors il s'agit d'une nouvelle variante et nous devrons attaquer différemment. Autre note : possible qu'AntiVir rende l'âme lui aussi. Tu le constateras si son icône près de l'horloge disparaît. Si c'est le cas, il faudra attendre avant de remettre un antivirus. Bon succès et courage surtout (je dois quitter pour quelques heures, alors retour pour moi dans la nuit, probablement).

Je ferme donc ce sujet-ci. Bonne continuation (dans l'autre sujet).

Bonjour À propos du fichier : ouais on voit bien le date de création (2004 en fait), mais Bagle aime bien manipuler les dates pour brouiller les pistes alors je me suis fié seulement à la taille de ce dernier. Par contre, si ce fichier est bel et bien là depuis des années, donc date réelle, je n'aurai pas besoin de lui, finalement. Je pensais avoir sous les yeux le responsable de l'infection, peut-être, d'où ma requête. Pas grave. Aurais-tu par contre une idée quant à la source de cette infection Bagle ? Existe-t-elle encore ? Si oui, pourrais-tu l'expédier s'il te plait ? Pas grave sinon ; juste à faire les autres manipulations ce soir... Merci Mark