Apollo

Hijackthis était bon dans le temps mais à présent il ne montre presque plus rien avec les infections modernes. Et pour les 64 Bits, il induirait en erreur avec ses "no file". Mieux vaut lui préférer ZHPDiag désormais. @++

Des résidus d"Ask Toolbar ou d'Offer Box. Rien de bien grave. Pendant que tu réinstalles et mets à jour Kaspersky, abstiens-toi de naviguer, le net est un coupe-gorge. Tu dois avoir + de 100 Mo à télécharger comme mises à jour... @++

Oui eh bien, je n'en crois rien! On va réécrire le MBR quoiqu'en dise Virus Total: 1) Télécharge MBRCheck.exe sur ton Bureau. Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus) Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse. Si un code de démarrage inconnu est détecté, des options s'afficheront Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois. Si rien de particulier n'est détecté, presse juste sur la touche [Entrée] Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaître sur ton Bureau. Poste stp son contenu dans ton prochain message. @++ pour la suite.

Garde-le cette fois Moa j'ai fait un répertoire rien que pour Eugène sur mon disque esclave, comme ça je retrouve mes jeunes

Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\PhysicalDisk0_MBR.bin Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp. ++

Pas bon signe tout ça. Tu n'as pas répondu à ma quesion, à savoir s'il y a ou non une partition recovery sur cette machine. Fais ceci et réessaie encore ComboFix. ZHPFix : Ferme toutes les applications ouvertes Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau Important: Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Clique sur H . Copie-colle les lignes ci-dessous dans la fenêtre [HKLM\Software\Trymedia Systems] O44 - LFC:[MD5.BD1F444949B3DFA99CD05DF98E61047E] - 27/04/2011 - 09:55:10 ---A- . (...) -- C:\Windows\System32\lsprst7.dll [340] O44 - LFC:[MD5.929242103D1C25CCF5F47A4FD49EA12B] - 27/04/2011 - 09:55:10 ---A- . (...) -- C:\Windows\System32\lsprst7.tgz [354] O44 - LFC:[MD5.D2AFE95C5427C9648CCF88F3CF570A27] - 27/04/2011 - 08:02:06 ---A- . (...) -- C:\Windows\System32\ssprs.dll [73] O44 - LFC:[MD5.70E3418C73AE9E98462780A91A47539B] - 27/04/2011 - 08:02:06 ---A- . (...) -- C:\Windows\System32\ssprs.tgz [87] O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe C:\Documents and Settings\wil\Local Settings\Application Data\MediaGet2 Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. Clique sur le bouton GO pour lancer le nettoyage Valide par Oui la désinstallation des programmes si demandé Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse. Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt @++

Tu peux faire l'analyse avec ça pour te rassurer niveau infections: Apollo Et Compagnie Kaspersky Virus Removal Tool en français Mais il est préférable de laisser travailler l'outil pendant la nuit car l'analyse est très longue parfois. Tu peux la faire en mode normal ou en mode sans échec. @++

Bonsoir, C'est bien ce que je craignais, un rootkit sur le MBR. Ton Windows a été monté et installé avec le dvd original de Microsoft ou c'est un système avec une partition Recovery avec les cd spécifiques à la marque? Car dans ce dernier cas, le MBR n'est pas standard et ça complique les choses. On va tenter autre-chose. ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux! Désactiver les protections (antivirus, firewall, antispyware). Si vous ne savez pas comment faire, reportez-vous à cet article. Connecter les supports amovibles (clé usb et autres) avant de procéder. TUTO Officiel Fais un clic droit ICI Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer) Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop exemple: On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau. Clique enfin sur le bouton Enregistrer en bas de page à droite. Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur plop. Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte! Clique sur Oui au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte! Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI. NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp. Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression". apparaissait, redémarrer le pc. @++

Ok, Relance OTM et clique sur le bouton Clean UP! Fais ces vérifications de sécurité stp: Apollo Et Compagnie A vérifier de temps en temps, important! ------------ Purge ta restauration système puis crée un nouveau point tout clean: :arrow: Vide tes points de restauration système qui sont infectés: Clique droit sur Ordinateur et choisis Propriétés Clique sur Protection du système (à gauche) Dans la nouvelle fenêtre qui s'ouvre, sélectionne ta partition Seven (généralement ©) puis clique sur Configurer Puis sur Supprimer Confirme la suppression en cliquant sur Continuer. Clique autant de fois que nécessaire sur OK pour fermer toutes les fenêtres. La restauration système dans Windows 7 | Forum-Seven @++

Oui, Pour désinstaller les outils utilisés: Télécharger ToolsCleaner! (par A.Rothstein & dj QUIOU) ] pour enlever les programmes utilisés pendant la procédure. http://pc-system.fr/TC/ToolsCleaner2.exe * Enregistrer ToolsCleaner2.exe sur le Bureau. Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur * Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés ------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal ! * Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche. Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer. Fermez le programme en cliquant sur "Quitter ". Postez le rapport qui se trouve ici >>> C:\TCleaner.txt Options facultatives A utiliser si vous le souhaitez : Création d'un nouveau point de restauration (conseillé) Vidage de la corbeille Nettoyage de vos fichiers temporaires Mettre ToolsCleaner2 à la corbeille. ------------------------------ Fais ces vérifications de sécurité stp: Apollo Et Compagnie A vérifier de temps en temps, important! Jette un oeil là aussi: Viruslist.com - Descriptions de Vulnérabilités ------------------------------- Vista: désactiver la restauration du sytème N'oublie pas de créer un nouveau point après la purge @++

Ok, tu peux jeter TDSSkiller car il évolue très souvent. Désinstalle ComboFix de la manière suivante: Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK ComboFix /Uninstall Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\ Vider la corbeille. Comment va l'ordi? Fais ces vérifications de sécurité stp: Apollo Et Compagnie A vérifier de temps en temps, important! Regarde également ici afin de voir si tu n'as pas d'autres applications ou navigateurs à mettre à jour: Viruslist.com - Descriptions de Vulnérabilités @++

Désinstall: Lance USBFIX et clique sur Désinstaller Réactiver l'UAC sous Vista/7. --------------- Es-tu bien certain d'avoir passé la toute dernière version de TDSSKiller? Si tu en avais une ancienne, flanque-la à la corbeille et refais une analyse stp. Vaut mieux vérifier. Télécharge TDSSKiller de Kaspersky sur ton bureau. Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip. Double-clique sur TDSSKiller.exe L'écran de TDSSKiller s'affiche: Cliquer sur Start scan pour lancer l'analyse. NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "réparer") Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, cliquer sur le bouton Continue puis sur le bouton Reboot now. Envoyer en réponse: *- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt) [systemDrive représente la partition sur laquelle est installé le système, généralement C:] . @++

Je l'ignore, il faudra demander sur le forum Hardware ou software. Si tu veux, je te redirigerais vers un forum spécialisé en systèmes Vista. Sinon comment se comporte le pc en général?

Re, Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien: http://oldtimer.geekstogo.com/OTM.exe Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître) ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur. Copie l'entièreté du code ci-dessous. Go :Files C:\Users\Valentin\AppData\Roaming\csrsmss32.exe :Commands [purity] [emptytemp] [start explorer] [reboot] Colle ce code dans la partie jaune de OtMoveIt3 intitulée: "Paste Instructions for Items to be Moved" Clique sur le bouton Moveit! pour lancer le nettoyage: Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) Ferme OTM en cliquant sur Exit: Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter. *** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp. @++

Voilà: Download kis9.0.0.736fr.exe from Sendspace.com - send big files the easy way Fais quand-même ce que j'ai dit au post précédent. @++

Tu feras une analyse antivirus plus tard. On passe à la désinfection: Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer. Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur. Clique sur Suppression et laisse travailler l'outil. Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre. Branche le matériel puis clique sur OK pour poursuivre. USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre. A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse. @++

Re, Il n'y a pourtant rien de compliqué à héberger un fichier texte sur ci-joint... Enfin bon. Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC :arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau. http://www.teamxscript.org/usbfixTelechargement.html NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article. Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer. Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur. Clique sur Recherche et laisse l'outil travailler Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre. Branche le matériel puis clique sur OK pour poursuivre. Patiente le temps d'exécution du scan. A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse. ++

Re, Alors, tu as une amélioration maintenant? Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC :arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau. http://www.teamxscript.org/usbfixTelechargement.html NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article. Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer. Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur. Clique sur Recherche et laisse l'outil travailler Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre. Branche le matériel puis clique sur OK pour poursuivre. Patiente le temps d'exécution du scan. A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse. @++

Bon, Je suppose que ton XP est un 32 Bits, sinon ne passe pas ComboFix. ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux! Désactiver les protections (antivirus, firewall, antispyware). Si vous ne savez pas comment faire, reportez-vous à cet article. Connecter les supports amovibles (clé usb et autres) avant de procéder. TUTO Officiel Fais un clic droit ICI Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer) Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop exemple: On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau. Clique enfin sur le bouton Enregistrer en bas de page à droite. Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur plop. Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte! Clique sur Oui au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte! Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI. NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp. Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression". apparaissait, redémarrer le pc. @++

Ben Kaspersky ne le propose plus en téléchargement. Sûrement pour ça qu'ils t'ignorent sur le support et c'est inadmissible. Moi je l'ai, (je garde toujours mes exe importants) mais il va me falloir trois plombes pour l'héberger qualque-part. Mais c'est possible Je te contacte en MP quand j'aurai réussi à l'uploader quelque-part. 2011 n'a pas à te foutre la pétoche; c'est vrai qu'il est plus lourd mais avec l'iSwift et l'iChecker, ça va mieux après quelques analyses. ZHPFix : Ferme toutes les applications ouvertes Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau Important: Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Clique sur H . Copie-colle les lignes ci-dessous dans la fenêtre [HKCR\TypeLib\{81ca8fcd-1420-4a07-b47d-b30f3dda79e1}] [HKLM\Software\Classes\TypeLib\{81ca8fcd-1420-4a07-b47d-b30f3dda79e1}] [HKCR\AppID\{AD71F65D-CD13-4837-A2DC-E4D90020E7D4}] [HKLM\Software\Classes\AppID\{AD71F65D-CD13-4837-A2DC-E4D90020E7D4}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}] Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. Clique sur le bouton GO pour lancer le nettoyage Valide par Oui la désinstallation des programmes si demandé Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse. Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt @++

Tu as toujours les mêmes problèmes qu'au début du sujet? +++

Il reste trop peu d'espace libre sur ton disque système: 8% et il en faut au minimum 15. Il va donc te falloir libérer de l'espace en séplaçant certains gros dossiers perso. ZHPFix : Ferme toutes les applications ouvertes Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau Important: Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Clique sur H . Copie-colle les lignes ci-dessous dans la fenêtre R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0 O42 - Logiciel: Widestream6 - (.Secure Digital Services.) [HKLM] -- {835525BE-63BD-4EC4-9425-00CEAD4849C2} [HKCU\Software\BearShare] O43 - CFD: 20/07/2010 - 14:52:10 - [396] ----D- C:\Program Files\BearShare Applications O43 - CFD: 27/06/2010 - 17:26:12 - [1292465] ----D- C:\Program Files\Widestream6 O53 - SMSR:HKLM\...\startupreg\Software Informer [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Software Informer\softinfo.exe O87 - FAEL: "{9FE5718A-ACFE-41DA-BFFE-E76C07DDD3CD}" |In - Domain - P6 - TRUE | .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) O87 - FAEL: "{321FDACA-0A83-4AA6-961F-78AA95C0F873}" |In - Domain - P17 - TRUE | .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) O87 - FAEL: "{AAA0640C-8E6E-43C6-869B-F3859973A571}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) O87 - FAEL: "{72F0AE30-2C64-4501-B311-9E3A95E547C9}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\BearShare Applications\BearShare\BearShare.exe (.not file.) [HKCR\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] => Infection BT (Adware.2Search) [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] C:\Program Files\Widestream6 Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. Clique sur le bouton GO pour lancer le nettoyage Valide par Oui la désinstallation des programmes si demandé Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse. Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt J'vais manger. @++

Re, Pas grave Sur ton bureau, tu as un raccourci MBR check. Lance l'outil et poste son rapport stp. @++

Bonjour, Ok, mais tu peux aussi changer d'antivirus: Installer/Configurer Avira Antivir version 10 : Antivirus - Anti-malwares @++

Bonjour, Donne-moi le rapport du résident d'antivir lorsqu'il détecte cette "infection" stp. @++