angelique

On essaie comme ça: • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\DOCUME~1\SBASTI~1\LOCALS~1\Temp\services.exe C:\Documents and Settings\Henri\fjgotp.exe C:\SDFix.exe C:\WINDOWS\mrofinu1423.exe.MSNFix C:\WINDOWS\mrofinu1423.MSNFix Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Flash Media"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\DOCUME~1\\SBASTI~1\\LOCALS~1\\Temp\\services.exe"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu avec un nouveau rapport HijackThis * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

On peut meme s'assurer de la presence du RK MBR avec Gmer, enfin c'est pas sur que cette derniere mouture de RK MBR soit détecté!!!!! http://imagik.fr/view-rl/29212 http://www.gmer.net/gmer.zip Donc tu le telecharges avant d'effectuer un FIXMBR , dezippe le en c:\ , onglet rootkit, scan , une fois le scan terminé clic copy , ouvre ton bloc note[executer--- notepad] , colle le resultat dedans , et tout le contenu sur le forum

Tuto Fixmbr: http://www.micro-astuce.com/depannage/cons...recuperation-XP Réparer le Master Boot Record avec la commande FIXMBR Si l'operation s'est bien déroulé : ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\TEMP\fobagsbslmm.dll C:\WINDOWS\system32\cnten.sys Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "httrdkeg"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "glorismq"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Information de Malekal , suite à l'upload des fichiers.presence de Trojan.Mebroot http://www.symantec.com/enterprise/securit...janmebroot.html Cartier83 , as tu le cd original et non de restauration d'XP ??

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau. http://download.bleepingcomputer.com/sUBs/ComboFix.exe *desactive temporairement ton antivirus avg * Double-clique combofix.exe afin de l'exécuter et suis les instructions. * Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

edite moi le dernier rapport d'antivir stp, sinon kaspersky c'est ok^^ c'est peut etre la quarantaine d'OTMoveIT qu'il a détecté ;o) C:\_OTMoveIt

Tu as un Rootkit MasterBootRecord mon cher !!!!!! c'est mort !!

Si tu as : Number of viruses found: 0 Number of infected objects: 0 tu pourras editer [onglet editer sous ton 1er message] et mettre [resolu] dans le titre Sinon poste le rapport kaspersky online.

Normallement oui ^^ • dernier rapport kaspersky online pour te rassurer ;o)

Nouveau rapport HJT stp

'soir et bienvenu sur Zebulon Desactive temporairement le TeaTimer de spybot , sinon il va géner dans la désinfection. • relance HJT "do a system scan only" , coche|selectionne les lignes ci dessous et clic onglet FIXCHECKED: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\SBASTI~1\LOCALS~1\Temp\services.exe • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. * Appuie sur Y pour commencer le processus de nettoyage. * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. * Appuie sur une touche pour redémarrer le PC. * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!) * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire) * Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. * Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HJT

Pour easy cleaner c'est normal !! c'est chelou ton histoire on va essayer comme ça ;o), pourtant ça concerne l'historique temporaire d'IE, ça reste que de la gnognotte par rapport à ton arrivée sur le forum Ferme internet explorer! • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\41QRGHQZ\niushkmpx[1].htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OXA3GT6F\wjkbcttklc[1].htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OXA3GT6F\zgshj[1].htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S92BG9IZ\wjkbcttklc[1].htm * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller. * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

et Mr midnighter poste à tout va la meme reponse, joli copier\coller , dans l'espace. Je te laisse le mettre dans le bon chemin!!!! ces messages pourront etre effacés ;o) Bon courage Falkra ^^

midnighter Tu n'as pas à intervenir dans cette espace sécurité , si le sujet a deja été pris en charge !!!!!!! par Falkra de surcroit.

ok , c'est parfait , donc ton sujet est résolu.

ok le rapport HJT est propre, cependant il reste 2 trucs à faire • Télécharger OTMoveIt2 par OldTimer. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe * Enregistrer ce fichier sur le Bureau. * Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\explorer.bak * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller. * Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): EmptyTemp * Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller. * Cliquer sur le bouton rouge Moveit!. * Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum. * Fermer OTMoveIt2 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum. • vide tes temporaires d'internet explorer executer------- cleanmgr coche toutes cases et clic ok • telecharge : - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html http://personal.inet.fi/business/toniarts/files/EClea2_0.exe installe le en français. -Lance Easycleaner, onglet mise à jour \verifier\clic liste noire Relance le apres la mise à jour, clic l'onglet "inutiles", coche toutes les cases du haut, Ne touche en aucun cas à la fonctions doublons -clic trouver, laisse le chercher et une fois terminer , clic supprimer tout -Supprime tout ce que te propose Easycleaner -Vide la corbeille • refais un dernier scan kaspersky online [ça doit etre le dernier ^^] et poste son rapport.

Je vais rien faire avec ça , il faudra recommencer , le laisser terminer , pour avoir un rapport complet!! @ demain.

'jour cauxboy ; Cartier83 Avant de te laisser poursuivre avec cauxboy , tu vas faire ceci stp!!!!!! tu vas faire progresser la communauté ainti malware 1• rend toi sur cette page et upload chacun des fichier plus bas en gras : http://upload.malekal.com/ C:\xolkyggk.exe C:\bot.exe C:\rdwavag.exe C:\mmhkj.exe 2•Relance HijackThis " do a system scan only ", coches les entrées ci dessous et clic FIXCHECKED: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe O4 - HKLM\..\Run: [rfmtlpre] rundll32.exe "C:\WINDOWS\TEMP\ecmjpibjc.nls" WLEntryPoint O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe O4 - HKCU\..\Run: [spoolsv] C:\WINDOWS\system32\spoolvs.exe O4 - HKLM\..\Policies\Explorer\Run: [scpmnsp] rundll32.exe "C:\WINDOWS\system32\dsbalkjeh.dll" WLEntryPoint O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM') O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: mpcnmlknilgfqd - C:\WINDOWS\SYSTEM32\mpcnmlknilgfqd.dll O21 - SSODL: akDcvc - {68EFC787-C245-6D2D-5C5A-BABE7E0DE695} - (no file) 3• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: File:: C:\WINDOWS\SYSTEM32\msgk427.exe C:\xolkyggk.exe C:\WINDOWS\SYSTEM32\wlogon32.dll C:\WINDOWS\SYSTEM32\msgk414.exe C:\bot.exe C:\WINDOWS\SYSTEM32\msgk449.exe C:\rdwavag.exe C:\WINDOWS\SYSTEM32\wind32.exe C:\Documents and Settings\LocalService.AUTORITE NT\Application Data\printer.exe C:\mmhkj.exe C:\WINDOWS\SYSTEM32\ftpdll.dll C:\WINDOWS\SYSTEM32\winmed.exe C:\WINDOWS\SYSTEM32\msgk374.exe C:\WINDOWS\SYSTEM32\winlogans.tmp C:\WINDOWS\SYSTEM32\svchost.t__ C:\WINDOWS\SYSTEM32\~.exe C:\WINDOWS\eReg.dat C:\WINDOWS\TEMP\mkdgoanrnch.dll C:\WINDOWS\TEMP\winlogan.exe C:\WINDOWS\TEMP\csrssc.exe C:\WINDOWS\system32\dsbalkjeh.dll C:\Documents and Settings\Ed\ftpdll.dll C:\WINDOWS\system32\tqunnpfw.dll C:\WINDOWS\TEMP\dkjal.drv C:\Program Files\antiviirus.exe C:\WINDOWS\system32\yrpyfolu.dll C:\WINDOWS\TEMP\winlogan.exe C:\DOCUME~1\Ed\LOCALS~1\Temp\csrssc.exe C:\WINDOWS\system32\drivers\spools.exe C:\WINDOWS\system32\printer.exe C:\WINDOWS\system32\spoolvs.exe C:\WINDOWS\SYSTEM32\winmed.exe C:\WINDOWS\shell.exe C:\WINDOWS\TEMP\ecmjpibjc.nls C:\WINDOWS\SYSTEM32\mpcnmlknilgfqd.dll Folder:: C:\VundoFix Backups C:\SDFix C:\Program Files\AntiVirusPro C:\Documents and Settings\Walter\Application Data\Anti-Virus-Pro.com Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "rfmtlpre"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Hhjg5jfd93dftdf"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Jnskdfmf9eldfd"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "scpmnsp"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mpcnmlknilgfqd] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\68efc729] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mpcnmlknilgfqd] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\acqnabng] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\antiviirus] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiVirusPro] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6bdcf4b5] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gflghssj] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hhjg5jfd93dftdf] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jelcjad] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jnitmrte] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jnskdfmf9eldfd] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntuser] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Printer] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qrcap] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spoolsv] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinMed] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\winmed.exe"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\bot.exe"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\winav.exe"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Documents and Settings\\LocalService.AUTORITE NT\\Application Data\\printer.exe"=- [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt ======== tu peux desormais apres ça , suivre les instructions de cauxboy=============== Enfin vous pouvez toujours réver , y'a infection RootKit MBR , tres puissant tu es inffecté entre autres , en plus ..... par: http://www.symantec.com/enterprise/securit...janmebroot.html

tu fais bien glisser CFScript.txt sur l'icone de ComboFix sur ton bureau?? CFScript.txt contient bien les informations que je t'ai dis de copier\coller ?? Tu sais faire un .reg ?? ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoWeather"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f94664a-7bfb-11dc-af03-00148541db82}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a166e503-88bd-11dc-af3b-00148541db82}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:rem.reg selectionne type de fichier "tous les fichiers" <-- tres important!!! [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. *double clic sur rem.reg sur ton bureau et accepte la fusion. • desinstalle ComboFix comme precedemment • tu n'as pas repondu à la question: • l'operation sur ton support USB s'est bien passé , tu as trouvé UFO.exe et un autorun.inf??

Bizarre que les valeurs registre ai pas bougé !! • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- "EoWeather"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f94664a-7bfb-11dc-af03-00148541db82}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a166e503-88bd-11dc-af3b-00148541db82}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • l'operation sur ton support USB s'est bien passé , tu as trouvé UFO.exe et un autorun.inf??

Verifie que ton service w32time(horloge windows) est demarré , et change de server ntp http://forum.zebulon.fr/index.php?showtopi...st&p=971664

Oui

met moi le rapport ComboFix

l'operation s'est mal effectué!! Desinstalle ComboFix en copiant collant et en validant dans executer ComboFix /u Refais mon message 4 en desactivant temporairement ton antivirus uniquement et reposte le rapport: http://forum.zebulon.fr/index.php?showtopi...t&p=1195475

Tu as appremment deja bien bossé • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Folder:: C:\_OTMoveIt Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- "EoWeather"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f94664a-7bfb-11dc-af03-00148541db82}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a166e503-88bd-11dc-af3b-00148541db82}] [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela : SURTOUT ne pas double-cliquer sur le disque dans le poste de travail Ouvre le poste de travail Clic sur le menu outils en haut à droite puis options des dossiers Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut Coche dans la liste "Afficher les fichiers cachés" Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Ouvrez le poste de travail Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!! Choisis ouvrir dans le menu déroulant. Cherche un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs ou UFO.exe ...... Si présents, supprimez le en faisant un clic droit puis supprimer. Répétez l'opération sur tous les disques se trouvant dans le poste de travail. • fait un scan ave ton antivirus kaspersky à jour , sauvegarde le rapport et poste le