Apollo

J'ai trouvé. Vois ici pour désactiver le résident McAfee: Assiste.Forums :: Voir le sujet - Désactiver le module résident de l'antivirus. Dis-moi si tu as pu le désactiver. @++

Re, Mais tu ne dois absolument toucher à rien quand ComboFix est en cours, même pas à la souris. La moindre manoeuvre peut faire planter l'outil, c'est indiqué dans l'explication pour Combo. Attends encore un peu et si rien ne se passe, il faudra trouver comment désactiver ton antivirus pour utiliser ComboFix en mode normal. Si rien ne se passe dans les 10 minutes suivantes, arrête Combofix en cliquant sur la croix en haut à droite de sa fenêtre. Voir ici si tu trouves comment désactiver le résident. http://search.mcafee.com/search?q=d%C3%A9sactiver&getfields=description&site=fr_site.AllTopics&type=enterprise&origin=fr&output=xml_no_dtd&proxystylesheet=default_frontend_fr&client=default_frontend_fr

Mmmm, ça sent mauvais ce phénomène d'exécutable corrompu... On va voir ce que raconte MBAM dans son rapport. @++

Ok, on va essayer avec le Fix de Microsoft alors. Réinitialiser le Hosts @++

Désinstalle MalwareBytes Antimalware par ajouter supprimer des programmes. Redémarre impérativement le pc. Télécharge mbam-clean.exe et enregistre-le sur le bureau. Exécute le fichier mbam-clean; le pc devra être redémarré. Réinstalle MBAM. Télécharge Malwarebytes' Anti-Malware (MBAM) Refais l'analyse complète après mise à jour et en n'oubliant pas de brancher les supports de stockage USB. @++

Ok, Tu vas faire l'analyse complète en suivant ces instructions stp, n'oublie pas de connecter les supports de stockage usb). Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Si MBAM demande à redémarrer le pc, fais-le. !!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.) http://forums.malwarebytes.org/index.php?showforum=40 @++

Oui fais avec TDSSKiller car MBAM ne pourra pas le liquider entièrement. Il faudra relancer MBAM mais en analyse complète cette fois mais il faudra peut-être réutiliser RKill si le pc reboote. Attends mes instructions stp. @++

Re, Ca c'est l'antivirus qui l'empêche. J'ai testé sur mon pc et si mon AV est actif, c'est pareil. Refais l'opération en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista

Tu n'as pas lu ce qui est indiqué en rouge dans mes explications pour MBAM? No action taken = aucune action entreprise. Il faudra recommencer cette analyse mais on y reviendra. Télécharge TDSSKiller de Kaspersky sur ton bureau. Double-clique sur TDSSKiller.exe L'écran de TDSSKiller s'affiche: Cliquer sur Start scan pour lancer l'analyse. Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now. Envoyer en réponse: *- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt) [systemDrive représente la partition sur laquelle est installé le système, généralement C:] . @++

Pas grave, tout le monde peut se tromper Je voudrais faire un contrôle avec Navilog1; il ne trouvera peut-être plus rien mais je préfère m'en assurer. Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau. http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau. Laisse-toi guider. Appuie sur une touche quand on te le demande. Au menu principal, choisis 1 et valide. < Ne fais pas le choix 2 > Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC. Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande. Patiente jusqu'au message "Scan terminé le......" Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir. Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes. PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt @++

Lance ComboFix comme ça. Si l'antivirus fait de siennes, ignore ses alertes sinon il empêchera l'outil de faire son boulot. Mais en mode sans échec, ce n'est pas possible qu'il soit actif. Si le rapport est trop long, héberge-le stp: Cijoint.fr - Service gratuit de dépôt de fichiers @++

A garder car très utile, mais si tu ne l'utilises pas, il ne sert à rien @++

Ce sont les mise à jour automatiques? Désactive-les provisoirement par le panneau de configuration. Il ne faut pas faire de mises à jour sur un pc encore infecté. Ne floode pas stp, j'ai pas le temps de répondre. Ce n'est pas le bon rapport; prends-le sur C:\Ad-report-clean. @++

Tu as fait l'analyse? Si oui, poste le rapport stp. @++

Ben c'est le contrôle des utilisateurs sous Vista/7. C'est vrai que je n'ai pas indiqué dans l'explication: il faut le désactiver provisoirement. Sous Vista/7: Désactiver provisoirement l'UAC comme expliqué ICI Mais si tu as déjà lancé l'outil laisse le poursuivre. @+

Re, Bon lance ComboFix en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista Ceci en espérant que tu accèdes au mode... Il ne pourra pas installer la console de récupération dans ce mode mais on s'y prendra autrement. Ces antivirus qu'on ne sait pas désactiver sont très énervants. @++

ZHPDiag : Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau Double-clique sur ZHPDiag.exe pour lancer l'installation Important: Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. [*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau. [*]Double-clique sur ZHPDiag pour lancer l'exécution Important: Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur [*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100% Tu refermes ZHPDiag [*]Le rapport ZHPDiag.txt se trouve sur le Bureau. Ce rapport étant trop long pour le forum, héberge le : soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr! soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse @++

Le pc a été redémarré? Car c'est nécessaire pour finir de liquider TDSS. (c'est lui le rootkit ) MBAM n'avait pas fini le boulot avec lui. Ensuite fais ceci: Télécharge Ad-Remover ci-dessous et enregistre-le sur le bureau. Double-clique pour XP, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône Ad-R placée sur le bureau. Ad-Remover : Telechargement Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler. Clique sur Nettoyer. Le bureau va disparaitre, c'est normal! Le rapport se trouve aussi sous C:\Ad-Report Clean. Copie/colle-le dans ta réponse stp. Réactiver l'UAC de Vista/7. (Si Vista/7 bien sûr!). La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet. @++

Oui lance le en mode normal @++

J'ai jamais essayé mais cela devrait aller. Je ne suis jamais infecté moi Pourquoi? Ca va pas en mode normal?

Re, Oui les fichiers de Windows sont patchés par l'infection; espérons que l'on va trouver des fichiers sains sur l'ordi. ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux! Désactiver les protections (antivirus, firewall, antispyware). Connecter les supports amovibles (clé usb et autres) avant de procéder. TUTO Officiel Fais un clic droit ICI Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer) Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop exemple: On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau. Clique enfin sur le bouton Enregistrer en bas de page à droite. Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur plop. Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte! Clique sur Oui au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte! Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI. NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp. Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression". apparaissait, redémarrer le pc. @++

Okay, je vois les merdes. Il va falloir faire des analyses supplémentaires car je doute que MBAM ait nettoyé dans les coins. Télécharge TDSSKiller de Kaspersky sur ton bureau. Double-clique sur TDSSKiller.exe L'écran de TDSSKiller s'affiche: Cliquer sur Start scan pour lancer l'analyse. Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now. Envoyer en réponse: *- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt) [systemDrive représente la partition sur laquelle est installé le système, généralement C:] . @++

Bonjour, Pas un mot sur le système, on ne peut pas le deviner quand-même... Télécharge MsnCleaner.zip (ElPiedra) Décompresse-le sur ton Bureau (Clique-Droit/Extraire tout) Redémarre en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista Double clique sur MsnCleaner (fichier .exe) Sous Vista: Clic droit/exécuter en temps qu'administrateur. Clique maintenant sur le bouton Analyze. Si un fichier nocif est détecté l'option Delete sera activée. Sélectionne les options Delete temporary files et Restore Hosts file puis clique sur Delete. Clique sur Report et copie/colle le rapport ici à la suite stp. Redémarre en mode normal. @++

Bonjour, Regarde sous l'onglet rapports/logs dans l'interface de MBAM, tu devrais y trouver les rapports dans l'ordre où les scans ont été faits. A moins que tu n'aies déjà essayé? @++

Bonjour, Ben, heureusement que l'antivirus ne supprime pas ces fichiers; ils sont essentiels! Lorsque tu fais une demande d'assistance, tu devrais au moins poster un log Hijackthis pour qu'on connaisse ton système; certains outils ne pouvant pas être lancés sur certains d'entre eux. (les 64 Bits). Et personne n'est devin ici Fais ceci stp: Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP Important : * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège. Valide par Appliquer. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). >>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter. Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum. N'héberge les fichiers que lorsqu'on le demande stp, sinon poste-les en clair. Merci. @++