Bonjour à tous,

Je m'adresse à vous aujourd'hui pour le PC de ma soeur (qui est totalement novice en matière d'informatique), qui est coupé d'Internet à cause d'un virus.

Suite au téléchargement d'un jeu pour son fils, Avast lui a détecté un virus mais ne sachant pas quoi faire car c'était la première fois que ça lui arrivait, elle n'a pas vu qu'il fallait choisir une action (en l'occurence, Supprimer) et elle a fermé la fenêtre d'Avast !
Le virus s'est répandu dans le PC, a désactivé Avast et Windows Defender et empêche de refermer toutes les applications qu'elle essaie d'ouvrir. Même le Gestionnaire des tâches ne veut plus rien savoir !
Impossible évidemment de réactiver les protections, de se connecter pour télécharger quoi que ce soit ni de désinstaller Avast pour réinstaller une version non-corrompue.

Bref, par quoi faut-il commencer pour retrouver ce virus, l'identifier et l'éradiquer, si c'est encore possible ?

Je précise qu'elle n'a même pas de DVD de restauration pour réinstaller sa machine... La totale !!!

Je sais que vous êtes une équipe de bénévoles, et que vous faites votre possible, mais si quelqu'un pouvait me conseiller rapidement, ça serait super-gentil.

Merci en tous cas d'avoir pris le temps de me lire.

Hello !

C'est pas bien de télécharger !

La première chose à faire est de démarrer en mode sans échec (sans prise en charge réseau) pour voir si Avast veut bien se lancer et exécuter une analyse.

Si Avast ne veut pas se lancer, ou qu'il n'arrive pas à éradiquer la menace, il faudra essayer une analyse antivirus à partir d'un CD bootable (la plupart des antivirus du commerce proposent cette fonction). Je ne crois pas qu'Avast propose cette fonctionnalité.

Pour démarrer en mode sans échec, faire des appuis à répétition sur la touche F8 lors du démarrage de l'ordinateur jusqu'à ce que la fenêtre de choix de démarrage apparaisse.

---

« Une fois que vous avez réussi à faire rire les gens, ils vous écoutent, et là, vous pouvez leur dire n'importe quoi. »
Herb Gardner

Bonjour Linsey, bonjour Bigjeffish,

Au cas où le passage d'Avast après démarrage en mode sans échec ne résoudrait pas le problème, il serait intérressant que Linsey aille faire un tour sur le site de Zébulon et soumette son problème à l'équipe de sécurité.

Par expérience, l'équipe lui demandera d'effectuer une analyse avec HijackThis et d'envoyer le rapport. Normalement, dans les 24 heures la solution est trouvée.

Bon courage,

Bonjour et merci de venir encore une fois à mon secours !

En fait, ça n'est pas pour moi, c'est pour ma soeur qui ne peut plus se connecter. Et c'est sûr, c'est po bien de télécharger ! Je le lui ai dit...

Bon, le démarrage en mode sans échec est possible mais le lancement d'avast semble impossible : "Error", "Please reinstall the software", "avast.exe n'est pas une application win32 valide". C'est pas bon ça, non ? Par contre, Windows Defender a bien voulu lancer une analyse (c'est en cours) mais je doute qu'il trouve un virus qui a été capable de le désactiver !

Sinon, qu'est-ce-qu'un CD "bootable" ? Et comment faut-il s'y prendre ?

Et pourquoi ne pas ré-installer Avast ? Puisqu'il a été capable de le détecter au téléchargement (dommage qu'elle n'ait pas su quoi faire !), pourquoi ne le retrouverait-il pas une fois réinstallé proprement ?

J'espère que tu auras des réponses à mes questions. En tous cas, merci d'avance.

Merci aussi pour ton conseil, Jackrix.
Je ne connais pas Zébulon, je vais donc aller voir. Le problème, c'est qu'elle ne pourra pas télécharger ni envoyer son analyse HijackThis, vu que le virus l'empêche de se connecter. Ca limite beaucoup les possibilités.

Re-Hello !

Ta soeur peut essayer de désinstaller Avast et de le réinstaller, mais il est très possible que l'installation ou le lancement soit bloqué par le virus vu qu'il s'est confortablement installé sur son PC.

A voir.

---

« Une fois que vous avez réussi à faire rire les gens, ils vous écoutent, et là, vous pouvez leur dire n'importe quoi. »
Herb Gardner

Linsey:

Sinon, qu'est-ce-qu'un CD "bootable" ? Et comment faut-il s'y prendre ?

Un CD bootable (ou amorçable en bon français) est un CD sur lequel tu le PC peut démarrer.
Je m'explique, lorsque tu réinstalles Windows par exemple, et bien tu démarres non pas en exécutant des fichiers se trouvant sur le disque dur, mais en exécutant des fichiers se trouvant sur le CD. Un CD bootable de détection des virus fonctionne de la même façon. Ton ordinateur lit les données du CD (ou DVD), les charge en mémoire et les exécute.
Il est à noter qu'un CD pressé (acheté) ne peut (normalement) pas contenir de virus.

Je te conseillerais BitDefender 2008 en logiciel payant, qui dispose d'un CD amorçable permettant d'effectuer des analyses antivirus sans démarrer Windows.
(NOTE : Cette analyse tourne sous linux, et BitDefender peut même télécharger les dernières mises à jours de virus. Comme cela ne démarre pas Windows je pense que ta sœur pourra se connecter à Internet via un tel CD pour les télécharger.)

Bon courage,

---

Prenez le temps d'aller vite...

Bonjour,

Merci pour ces précisions. Je lui transmets. Mais je ne sais pas si elle y arrivera.

J'ai essayé de lui faire télécharger HijackThis car elle a réussi à se connecter finalement. Mais impossible de télécharger !
Donc, pas de possibilité de faire un rapport et de le publier sur un forum !

La réinstallation d'Avast bloque également.
L'analyse de Windows Defender a bloqué elle aussi.

Y a t'il un autre moyen de générer un rapport ?

Merci à vous tous d'essayer de m'aider.

Re,

Essaie d'installer HijackThis par l'intermédiaire d'une clé USB, une fois que l'ordinateur est démarré en mode sans échec.
Bien faire attention à installer HijackThis pendant que tu es en mode sans échec.

Si tu y arrives, génère l'analyse en mode sans échec.

Good luck.

Merci de tes conseils.

Je lui ai déjà suggéré mais elle n'ose pas car sa clé USB a été en contact avec son PC et elle craint qu'elle ne soit infectée elle aussi.

C'est peut-être une question idiote, mais est-ce possible ?
Et si tel est le cas, peut-on transmettre le virus à un autre PC d'où elle téléchargerait HijackThis avec cette clé ?
J'espère ne pas faire sourire tout le monde avec cette question, si elle n'est pas justifiée...

Bonjour Linsey,

Au contraire, ta question est très pertinente.

Et la réponse est malheureusement oui. Un virus peut très bien infecter les fichiers d'une clé USB pour ensuite se transmettre à un autre PC auquel serait connectée cette clé. J'ai encore rencontré le cas il y a une dizaine de jour à mon travail et il nous a fallu pas mal de temps pour éradiquer le virus en question.
Il n'est pas certain à 100 % que le virus se trouvant sur le PC de ta soeur utilise ce mode de propagation, mais il est impossible de le savoir.

Dans ce cas, on utilisera une clé USB dont on peut verrouiller l'accès en écriture (seuls certains modèles le permettent, ils sont équipés d'un petit interrupteur permettant d'interdire toute écriture sur la clé quand il est en position "lecture seule") et sur laquelle on placera des utilitaires de diagnostic et de nettoyage le cas échéant à partir d'un autre PC. C'est d'ailleurs comme cela que nous avons procédé dans ma boîte. Le seul inconvénient, mais c'est le cas dans la plupart des cas de désinfection, c'est qu'il faut télécharger les outils et charger la clé USB (ou le CD amorçable, ça marche aussi) à partir d'un PC sain.

Cordialement,

---

David SADOUN
Webmaster du GUWiV

Bonsoir David,

Merci infiniment pour tes conseils toujours aussi précis.
Bon, là je crois que ça devient un peu chaud pour se débrouiller tout seul et sans clé USB "spéciale lecture seule".
On va faire ce qu'on peut. Sinon, que faire maintenant de cette clé USB qui est potentiellement dangereuse ? Existe-t-il un moyen de la "nettoyer" sans prendre de risques ?

Et pourquoi ne pas formater pour tout éradiquer ? Bien sûr, elle perdrait tous ses dossiers personnels...

Et maintenant, la question qui tue : Peut-elle formater avec les DVD créés par le PC de son mari (qui, par bonheur, a exactement le même modèle !) car son PC était livré sans supports de restauration et elle ne les a pas créés à l'installation ?

A bientôt, j'espère.

Bonsoir Linsey,

Tu peux soit désinfecter la clé USB en question en la connectant à un PC équipé d'un bon antivirus (je conseille toujours NOD32 de chez ESET qui à mon avis est toujours le meilleur antivirus au monde), soit carrément reformater la clé si son contenu n'est pas important.

C'est tout de même ennuyeux de perdres toutes ses données personnelles (emails, photos, documents, etc.), mais ça peut être une solution.
Elle pourra sans problème reformater la machine avec les DVD créés sur une machine de même modèle et même marque, normalement il n'y a pas de problèmes.

Maintenant, si son mari a un PC sain qui a une connexion Internet, il lui est donc possible de graver un CD contenant des outils de désinfection, outils qu'elle exécutera en mode sans échec depuis le CD gravé. Avant de tout formater, c'est peut-être une option.

Cordialement,

---

David SADOUN
Webmaster du GUWiV

Merciiiiiiiiiiiiiiiiii David,

Ton aide nous est très précieuse. Ma soeur arrive de nouveau à se connecter et a vu tes derniers conseils. Elle t'en remercie.
Aux dernières nouvelles, elle a téléchargé et gravé HijackThis, mais impossible à exécuter sur son PC même en mode sans échec !
Espérons qu'elle pourra lancer un autre outil de désinfection... mais pour l'instant, le virus ne laisse rien s'installer. J'espère même qu'il ne bloque pas son lecteur de CD...

Si elle devait en arriver à formater, existe-t-il, comme je l'ai déjà entendu dire, un risque de rendre le PC moins stable ou d'y créer des failles de sécurité ?

Sinon, elle essaie ta solution dès que possible et on te redonne des nouvelles.

Avec tous nos remerciements.

Bonsoir,

Mission accomplie ! Le virus a finalement été identifié dans le gestionnaire des tâches, il s'agissait de wintems.exe.
La solution d'un bon antivirus en mode sans échec a assez bien fonctionné. Il en a supprimé au moins une bonne douzaine.
Je dis "assez bien" parce qu'après ça, le PC redémarrait en boucle. Un scan avec EliBaglA, qui en a encore supprimé quelques uns, a apparemment fini le travail car il redémarre maintenant en mode normal et a l'air de se refaire une petite santé !
Je n'y connais rien en virus mais elle m'a dit avoir supprimé : Hdlrrr.exe, Win32/Bagle.OD, Win32/Bagle.OL, je crois... et plein d'autres. Je n'ai pas le détail précis, désolée.

Ma soeur aurait bien voulu vous transmettre elle-même ces nouvelles et vous remercier personnellement mais elle ne parvient plus à se connecter : "Internet Explorer ne peut pas afficher cette page Web". Que faire ?
Y a-t-il quelque chose à reconfigurer quelque part dans sa connexion ou est-ce Internet Explorer qui a été endommagé ? De quel côté faut-il chercher à votre avis ?

Si quelqu'un a une petite (ou une grande !) idée, merci d'avance !

Et autre chose, faut-il vérifier les ports ouverts sur le pare-feu de Windows après une telle infection ? Et si oui, comment ?

Merci pour vos réponses,

Linsey

Bonjour,

Personnellement, si pas mal de problèmes sont encore présents dans Vista, je conseille de sauvegarder ses documents, de bien les "nettoyer" avec un ordinateur sain et protégé et de réinstaller Vista.

A+

---

Prenez le temps d'aller vite...

Bonsoir,

Hein Pierre ? Tu plaisantes ou quoi ? Après tout le mal que Linsey s'est donnée pour nettoyer la machine de sa soeur, j'espère bien qu'elle ne va pas avoir maintenant à la réinstaller !
On croirait le conseil d'un vendeur de la F...C ou de chez D...Y !

Linsey, il faut avant tout vérifier si le problème vient d'IE ou de la couche réseau de la machine. Pour cela, ouvre une invite de commandes sur la machine et tape la commande suivante suivi de <ENTRÉE> : ping guwiv.com

Normalement, la commande ping devrait à quatre reprises te renvoyer l'adresse IP de notre site. Si ce n'est pas le cas, c'est que le problème vient de la couche réseau, sinon d'Internet Explorer.

Pour ce qui est du pare-feu, inutile de modifier quoique ce soit, le ver qui a infecté la machine de ta soeur ne modifie pas les réglages du pare-feu et ne rentre de toutes façons pas tout seul sur une machine (c'est d'ailleurs ce qui s'est passé, ta soeur l'a téléchargé lancé, il n'est pas rentré sur la machine de lui-même).

Cordialement,

---

David SADOUN
Webmaster du GUWiV

Bonsoir David,

Tout d'abord merci d'être toujours là, c'est super sympa !
Et désolée pour ma réponse tardive mais le week-end, mes chers petits ados squattent le PC.

Alors, non, je ne pense pas qu'elle décide de reformater maintenant qu'elle a fait le plus dur !!!

Par contre,elle n'est pas encore au bout de ses peines car le problème de connexion a été vite diagnostiqué : c'étaient de nouveau des virus. Sortis d'où ? Mystère...
Donc redésinfection, connexion Internet revenue en ethernet mais toujours pas en Wi-Fi.
Sur ce coup-là, ma soeur s'est débrouillée toute seule, comme un chef, et a rétabli son mode Wi-Fi dans la base de registre ! Là, elle m'a épatée pour une débutante !

Malgré tout, il reste un problème : dans la barre d'état d'IE est indiqué que le mode protégé n'est pas activé. Ca n'est à mon avis pas normal... Que faut-il faire ?
Je ne vois pas s'il faut chercher du côté d'Internet Explorer ou d'Avast.

Merci d'avance car je suis sûre que tu auras une idée.

A bientôt,

Linsey

Bonsoir Linsey,

Pour le mode protégé, il est possible qu'une des menaces ayant infecté son PC l'ai désactivé. Pour le réactiver, il suffit de double-cliquer sur la barre d'état d'IE, à l'endroit même où est indiqué l'activation du mode protégé. Là, une boîte de dialogue intitulée Sécurité Internet va s'ouvrir, la dernière case à cocher en bas de cette boîte permet d'activer le mode protégé, il suffit de la cocher.

Si ça ne fonctionne pas, c'est que quelque chose empêche volontairement l'activation du mode protégé et que le PC est peut-être encore infecté.

Dis à ta soeur de refaire une analyse complète du PC avec NOD32 en ligne, puis avec un autre outil (qui a dépanné le PC d'un ami ce week-end), Malwarebyte's Anti-Malware qui est à mon avis le nouveau petit bijou de la lutte anti-malware.
Si aucun de ces deux outils ne trouve rien, je pense que ta soeur est tirée d'affaire et que son PC est de nouveau sain.

Dernière précaution avant de clore l'incident : qu'elle n'oublie pas de vérifier que son Avast est bien à jour de toutes ses signatures et qu'il fonctionne correctement. Et si ce n'est déjà le cas, je conseille d'activer l'UAC, c'est un excellent garde-fou quoiqu'en disent certains.
Et à l'avenir, dis-lui surtout de ne pas se précipiter quand une boîte de dialogue de sécurité apparaît, les lire avant de cliquer à tort et à travers évite souvent bien des tracas.

Cordialement,

---

David SADOUN
Webmaster du GUWiV

Bonsoir David,

Tout d'abord un grand merci pour ton aide ,je suis la soeur de Linsey à qui tu as répondu ces derniers jours.

Linsey me disait que faire sitôt reçu tes messages !
Tous mes problèmes ne sont peut-être pas encore résolus mais ça va beaucoup mieux.

Je voulais te tenir au courant sur ce que j'avais trouvé : après le passage de NOD32 Win32/Bagle.OD et Win32/Bagle.OL.
J'ai ensuite lancé Elibagla qui m'a trouvé : ALAUNCHCLIENT.EXE Bagle.dldr, GOOGLETOOLBARNOTIFIER.EXE Bagle.dldr, FLECOO6.EXE Bagle, MDELK.EXE bagle.dldr,1019544.EXE Bagle, 1104190.EXE Bagle, 1194880.EXE Bagle,1983209.EXE Bagle, 2000775.EXE Bagle, 2100849.EXE Bagle, 2499650.EXE Bagle, 3007496.EXE Bagle, 332422.EXE Bagle, 5086552.EXE Bagle, 5086552.EXE Bagle, 5160450.EXE Bagle, 5263910.EXE Bagle, 5605833.EXE Bagle, 772033.EXE Bagle, 8201471.EXE Bagle.

J'ai fait tout ça en mode sans échec puis suis repassée en mode normal.
Je suis ensuite allé télécharger Avast! familial. J'ai ensuite passé Spybot qui m'a détecté Win32.Bagle.hi, Win32.Agent.bgy, Win32.Bagle.E, WebTrends live, Tradedoubler, DoubleClick, BlueStreak, Adviva, AdRevolver
Puis j'ai effectué une analyse Avast! qui m'a trouvé un logiciel malveillant (Win32:Rootkit.gen[Rtk]) et un cheval de Troie (Win32.Beagle.AEA[Trj]).

Je n'avais plus de connexion Wi-Fi (erreur 1068), avec l'aide d'un sujet sur le forum, je l'ai reconnecté en allant dans la base de registre avec regedit.
Je peux de nouveau surfer sur Internet, et Spybot et Avast! ne trouvent plus rien.

Une seule chose m'inquiète encore, lorsque j'ouvre Internet Explorer mon mode protégé est désactivé bien que les paramètres de sécurité soient activés !
Je n'ai pas encore trouvé de solution sur le forum ou alors j'ai mal regardé.

Voila, désolée pour ce gros pavé à lire. Encore un grand merci à toi David.

Cordialement.

Bonsoir,

As-tu suivi les conseils que j'ai donné dans le message précédent le tien ?

Dans la boîte de dialogue Sécurité Internet, essaie de décocher la case d'activation du mode protégé, valide par OK, puis retourne dans la boîte de dialogue Sécurité Internet et recoche la case, enfin valide par OK. Le mode protégé se réactive-t-il ?

Cordialement,

---

David SADOUN
Webmaster du GUWiV

Bonsoir David,

C'est Erika, la soeur de Linsey.
J'ai effectivement suivi tes conseils à la lettre mais ça ne change rien, le mode protégé reste désactivé.
Si tu as d'autres idées, je suis preneuse.

Je m'absente 3 jours et pars sans PC, je consulterai la boîte de Linsey en rentrant.

Par avance merci,

Cordialement.

ERIKA

Bonjour,

Après bien des recherches et des tentatives (car le mode protégé d'IE était bien coché dans les options mais ne voulait pas se réactiver dans la barre d'état d'IE) ma soeur a résolu son problème : c'était l'UAC. Il avait été désactivé par les virus et il était devenu impossible de l'activer depuis le panneau Comptes d'utilisateurs. Il a fallu le réactiver via msconfig.

D'autre part, merci du conseil pour Malwarebytes : il a trouvé 9 menaces de plus !
Espérons que cette fois-ci c'est terminé !

Un seul problème subsiste : Un dossier Macromed se manifeste tout seul dans la barre des tâches lorsqu'elle lance Avast.
Ca semble être le lecteur Flash, mais pourquoi se manifeste-t'il tout seul ? Fichier endommagé ou virus ? Faut-il simplement le désinstaller et le réinstaller ?

Si vous avez une idée, merci d'avance.

A bientôt,

Linsey