Falkra

Bien pour le scan complet avec Antivir. Ca va prendre un moment, mais tu peux sauvegarder le rapport en fin de parcours (bouton "report"). S'il trouve des choses, mets en quarantaine (choisis "Quarantine" et tu peux automatiser ce type de réponses en cochant une case), comme ci dessous :

Qu'est-ce qui coince ? Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Quelle procédure ? Nous déconseillons toute utilisation de Combofix sans guidage sur un forum par de gens formés à cet outil : son utilisateur peut être passablement dangereuse et ne doit pas être faiteà la légère. D'ailleurs la procédure est légèrement différente. ------------ il faut re-télécharger. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Il a dit qu'il n'avait pas trouvé de modifications ?

Le test tourne en boucle si on ne l'arrête pas (voir tutos). Retire le disque ou la disquette et fais "Echap." pour l'arrêter. La machine redémarre. Ca a indiqué des erreurs, donc ?

Antivir peut encore être injecté/shooté par Bagle, il ne faut pas l'installer tout de suite s'il en reste des traces ou que tu l'as réactivé. Je t'ai dit de ne pas réinstaller Avast, ce n'était pas pour rien, de toute façon cet antivirus ne te protègera pas de Bagle. Le rapport ne montre plus de trace de l'infection. Cela dit comme tu as déjà essayé 50 outils, et utilisé combofix 2-3 fois avant, il est impossible de savoir précisément ce qui reste ou ne reste pas. Ca + les cracks, tu crées ton propre malheur. Maintenant il faut faire autrement. --------- Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Quelle fenêtre ?

Ca ressemble plus à un keygen ou à un crack qu'à une infection.

Oui, tout à fait. Cela dit avast est à éviter. Antivir, une fois installé, peut bloquer Bagle, et est de manière générale bien plus efficace qu'Avast. AVg aussi si tu es allergique à Antivir, mais il est un peu plus lourd. Tu peux la réactiver. Supprime EliBagla et autres, au passage.

Le rapport est propre. Tu peux désinstaller combofix : entre combofix /u (et/ou combo-fixe /u) dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Tes protections antivirus étaient inefficaces contre Bagle, qui les corromp de toute façon. Je précise que Bagle s'atrappe très souvent par des cracks et inonde largement les réseaux p2p. Tu peux garder MBAM, c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine et il aurait pu te débarrasser de Bagle. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Vire les restes de Norton avec cet outil officiel, qui fera le travail. Vire Avast et remplace le par Antivir qui est bien plus efficace et tout aussi gratuit. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Une fois installé, fais clic droit sur son icône et dans le menu Defense+, règle sur "Disabled" si le HIPs te psoe des problèmes. Il faut bien garder ton système et les logiciels à jour. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tout cela permet d'éviter une réinfection par autre chose. Bien sûr il faut éviter les cracks. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

En effet, ce qui est très bon signe. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Tout non, laisse le dossier dans Adobe, on ne sait jamais. Relance HijackThis, coche cette ligne et clique sur le bouton Fix checked, en bas à gauche : Par contre Avast est devenu une passoire malheureusement. Vire Avast et remplace le par Antivir qui est bien plus efficace et tout aussi gratuit. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Une fois installé, fais clic droit sur son icône et dans le menu Defense+, règle sur "Disabled" si le HIPS te dérange. Il faut bien garder ton système et les logiciels à jour. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Par exemple, il fautr mettre à jour adobe reader. Désinstalle l'ancien d'abord, ce sera plus simple. Il faudra passer au SP3 de windows XP. (lien) Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Désinstalle navilog1 par ajout/suppression de programmes. Ne vire pas HijackThis tout de suite. Relance HijackThis par clic droit, "exécuter en tant que..." "administrateur", coche cesl ignes et clique sur le bouton fix checked : --------- Ton infection, NaviPromo/Magic Control, s'attrape en installant un de ces logiciels ou par des pages piégées : # LivePlayer (live-player.com) # Go-astro # GoRecord # HotTVPlayer # MailSkinner # Messenger Skinner # Instant Access # InternetGameBox # Sudoplanet # games-desktop.com # WebMediaplayer sauf celui du créateur Florian Delaunay -> http://www.azertysite.new.fr/ N'installe jamais ces programmes. Il faut bien garder ton système et les logiciels à jour. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

On peut convertir les mails vers thunderbird, (je ne sais pas si sa désinstallation les vire aussi). On regarde, ça semble un client puor navilog. Désinstalle l'ancienne version via ajout/suppr de programmes avant de mettre la nouvelle (il y a eu des mises à jour). Pourtant combofix les vire. Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

J'en ai déjà trop, vas-y.

Ca va mieux. Passe MalwareBytes maintenant, et poste le rapport quand il aura terminé stp. Le scan peut durer un moment.

Tu as désinstallé Norton ? (je vois des résidus)

Ok, impec.

Désinstalle d'abord la version 7 d'adobe reader, via ajout/suppression de programmes. Redémarre si demandé, puis installe la dernière. Après oui, IE7, puis en dernier le SP3, si IE7 s'installe bien.

Tu peux le supprimer par clic droit, supprimer, ce ne sont que des raccourcis résiduels (qui ne mène à aucun fichier).

Cela n'a pas en aucun cas été dit de cette manière . C'est le principe des statistiques et de la moyenne : quand on dit 9/10 on peut être le 10eme. Ce n'est pas ce qui est écrit dans les derniers posts. Le déplacement de problème consiste à dire qu'il y a jugement de valeur là où il y a considérations techniques. Quelles solutions proposes-tu ? (bis)

Le rapport est propre (quelques modifs à faire pour la config sécurité on voit ça ensuite). Est-ce que de ton côté tu constates encore des symptômes infectieux ?

Tu l'as bien mis sur le bureau comme demandé ? Il ne faut pas le mettre ailleurs. Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Désactive ton antivirus, il peut gêner. Ouvre le bloc notes. Vérifie que dans le menu format, le retour automatique à la ligne est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ------------------------------------------------------------------------------------------------------------------------ Après avoir posté ce rapport, voici la suite. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport. Après le redémarrage, poste un nouveau rapport hijackThis stp, qui suivra le rapport de MBAM.

Bah, ne vous disputez pas pour ça, c'est dommage. Si ma mémoire est bonne (et vous savez comme la mémoire est parfois espiègle ^^) Blaster/Sasser et consorts ont profité d'une faille latente qui a pris tout le monde de court, même sur des systèmes à jour. Peut-être était-ce une faille déjà connue mais non patchée, Microsoft n'ayant pas été rapide, apparemment, même après l'épidémie. Je ne me souviens plus mais l'exactitude de cette hypothèse archéologique n'est pas le but de ce post. Si cette hypothèse est juste, un système qui n'était pas à jour était tout aussi vulnérable, mais est-ce que la morale à en tirer est "inutile de maintenir son OS à jour" ? Je ne le crois pas, bien au contraire : s'il est difficile de se protéger contre des vulnérabilités connues, mais pas encore corrigées (sauf parfois en désactivant certaines fonctions de l'OS ou du navigateur), il est plus aisé de se protéger des failles connues et exploitées par le biais de mises à jour. Autant se protéger de celles là, c'est toujours ça de gagné, puisqu'il n'y a pas de solution parfaite.

Le rapport est ok. Tu as Antivir + Norton Antivirus ? Ca en fait un de trop, si oui.