Mark

Pour VRT, je devrai te croire sur parole. Voilà la réalité des interventions à distance sur forums ; il doit y avoir une certaine confiance mutuelle sinon ça ne peut pas marcher. Je n'imposerai jamais à quiconque de me faire confiance aveuglément, mais je vise un minimum, quand même. Là je te demanderais de m'expliquer, car je ne vois pas du tout. Laisse parler ta logique, car la mienne ne s'y retrouve pas. Tu as (avais) même VMWare qui tournait, que je connais bien car je l'utilise ici. En principe, une machine virtuelle peut servir à lancer ou examiner des trucs "louches" tout en évitant d'infecter la machine hôte. Ça fonctionne pour toi ? D'accord, et merci pour la précision. Dommage pour l'image d'Acronis qui est ancienne, surtout avec ce que tu as présentement (infections). Pour SyncBack : bien compris Je vais supposer / croire qu'il ne se lance plus au démarrage, mais je sais qu'il se lance au démarrage lorsque présent. Mais bon... Je suis prêt à tenter le nettoyage à nouveau et si ça interfère ou plante, tant pis. Dépassé ? Peut-être bien, mais pas nécessairement côté technique J'ai la distincte impression de monologuer, alors voici mon choix : je repasse un peu plus tard avec une nouvelle manip @+ Mark

Salut LH Chaque chose en son temps, je suis d'accord. Pour VRT, voici ce qui tournait lors du dernier passage de ComboFix : Ça fait du monde, et de l'interférence qui peut bouziller les tentatives de désinfection. Nos outils sont sensibles à ce genre de modules qui tournent en profondeur. Écoute... je vais te faire quelques commentaires qui s'inspirent de la logique et rien d'autre, alors j'espère que ça passera pour ce que c'est : Tes stratégies ne fonctionnent pas présentement et je t'explique : > XP modifié et très en retard dans les mises à jour (probablement 3-4 ans derrière...). Les mises à jour de sécurité permettent de sécuriser XP et plusieurs bestioles sautent littéralement sur les systèmes pas à jour (pas juste XP). > Tu as confirmé à Apollo que tu étais adepte des cracks et autres. Les risques associés à ce genre de comportement sont non seulement réels, mais très élevés quand on connait les vecteurs d'infections. > Tu avais deux antivirus, pensant peut-être que deux valent mieux qu'un. Ce n'est pas le cas. Deux antivirus actifs diminuent la protection antivirale de la machine car ils compétitionnent pour le même boulot et entrent souvent en conflit. > Tu as Acronis, qui devrait te permettre de te sortir de ce genre de pétrin, mais ce n'est pas le cas ici, on dirait. Remettre une image propre avec ce logiciel, c'est rapide et très efficace lorsque tout est planifié. SyncBack est sûrement intéressant aussi (je ne le connais pas), mais dès qu'on sauvegarde des trucs infectés, c'est une solution qui devient dangereuse car tu peux aisément remettre des infections et rebelotte. Alors permets-toi de revoir ta stratégie avec VRT qui, à mes yeux, ne t'est d'aucune utilité en ce moment. VRT est un scanneur sur demande qui ne se met pas à jour. Là ta machine est toujours infectée et il y a des trucs qui reviennent ; pour les virer une fois pour toute, il faut laisser les outils de nettoyages (autres que VRT) respirer librement, sans interférence. Je fais du progrès ? @++

Merci Apollo LadyHunter doit aussi bien voir le message de désinstallation (VRT) qui apparaît à chaque démarrage de l'ordi Ok LH, tu es têtue et moi aussi, alors je t'explique en détails : - Apollo a accepté de prendre ton sujet en charge, malgré ton XP qui est modifié (probablement illégal, je me trompe ?). Normalement c'est hors charte et les sujets sont fermés sur-le-champ. Ici sur Zeb, il y a des bénévoles qui acceptent de nettoyer ces machines avec système illégal une seule fois, dans le but de remettre la machine en état, de prévenir le spam provenant des machines infectées et ensuite on prévient le membre des risques. On conseille aussi fortement de mettre un système légitime, car il n'y aura plus d'aide sur nos forums si retour avec ce système tel quel. Point barre. - J'ai accepté de prendre le relai simplement pour poursuivre le travail d'Apollo. Mon but étant de nettoyer ta machine, qui est profondément infectée et très en retard avec les mises à jour (tu le sais) ; plusieurs infections permettent le contrôle à distance des machines et ceux qui contrôlent peuvent faire n'importe quoi, y compris l'utilisation des machines infectées pour faire circuler d'autres infections, du matériel illégal voire de la pornographie, etc... Je préfère nettoyer ça (une fois) et ensuite mettre l'internaute au courant de la situation. Libre à toi de mettre un système légitime ou non, mais l'aide sur ce système cesse après la désinfection ici. - L'outil VRT : il fait tourner des modules de l'antivirus complet sans t'offrir sa protection. Des pilotes de type "Kernel Guard" qui peuvent interférer avec nos outils de désinfection. La machine est infectée (pourrie) en profondeur et il faut éviter les interférences. Voilà pourquoi tu dois désinstaller l'outil. Tu veux le remettre après, sachant qu'il ne te protège pas ? Libre à toi. Mais si tu veux poursuivre la désinfection, il faut le virer maintenant. Je veux bien terminer la désinfection, si possible, mais pas avec VRT qui roule en arrière plan. Je t'avais également demandé de désactiver Outpost avant de lancer ComboFix, ce qui n'a pas été fait. ============= Pour conclure : fais-moi signe lorsque VRT sera désinstallé. Merci... @+ Mark

Virus Removal Tool est un outil qui ne se met pas à jour ; la base de définitions virales est statique. Il s'agit d'un outil jetable, pas à garder. En ce moment, il fait tourner des pilotes qui ne font que nous nuire ; ces pilotes font partie de l'antivirus de Kaspersky et tournent avec l'outil VRT, mais ne te sont d'aucune utilité. Il faut le désinstaller - maintenant. J'attends ton retour là-dessus. Note : si tu me dis "oui-oui c'est fait" et que l'outil est toujours là, ben on perd notre temps ici, tout simplement. Ton choix @+

Bonjour LadyHunter Mon script visait à retirer la valeur pourrie associée à Userinit (c'est réussi) ; je ne touche pas au fichier Userinit.exe Oui je ciblais le dossier aussi. Là on voit des choses que l'on ne voyait pas avant, alors j'ai espoir qu'on en viendra à bout. Petit problème par contre : l'outil Virus Removal Tool (de Kaspersky) est toujours là et actif. G Data est toujours là également... As-tu tenté leur désinstallation ? J'attends ton retour là-dessus avant de poursuivre, c'est-à-dire ta confirmation que les deux sont désinstallés ; si problèmes, fais signe. @++ Mark

Y a pas de quoi

Bonsoir à vous deux trollinounex : tu peux éditer tes messages mais pas effacer tes sujets. J'ai donc supprimé les deux autres. Bonne continuation Mark

Merci Ok, il faut faire un peu de ménage dans les antivirus là. Tout d'abord, on désinstalle le Virus Removal Tool de Kaspersky ; pour faire ça, regarde dans le dossier suivant : D:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12 ...ou sinon dans D:\virus removal tool ..et il devrait un fichier "Uninstall.exe". Lance-le pour la désinstallation de l'outil. Un redémarrage sera nécessaire pour terminer le travail. G Data ou AntiVir ? Juste un, s'il te plaît, sinon tu auras des problèmes. Après désinstallation d'un antivirus, tu devras redémarrer à nouveau pour compléter le boulot. ================== On fait du nettoyage maintenant : Tu as bien fait tes sauvegardes ? Je vois Acronis sur ta machine alors j'imagine que ça va.. Désactive la protection de l'antivirus ainsi que Outpost Firewall. **Le script prescrit ci-bas a été préparé pour la machine de LadyHunter seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte Citation ci-dessous (sans le mot "Citation" ): *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+ Mark

Bonjour LadyHunter, Message perso bien reçu. Je vais tout d'abord te demander de relancer ComboFix et de nous mettre le rapport ici. Lors de son lancement, il te proposera d'installer une version à jour : accepte. Si tu as reçu de l'aide ailleurs depuis ton dernier message ici, prière de nous refiler le lien vers la discussion s.t.p. Il y a (ou avait) beaucoup de bestioles sur ta machine et, vu son état initial - XP modifié - je ne t'offre aucune garantie de succès complet et il pourrait même y avoir de la casse ; c'est rare mais ça peut arriver, alors je te suggère de sauvegarder tes données importantes avant de poursuivre. @+ Mark

Bonsoir Barif ; je te souhaite la bienvenue sur nos forums Ok, on va débuter avec ceci : Télécharge Malwarebytes' Anti-Malware du lien suivant : Télécharger Malwarebytes' Anti-Malware sur 01net Telecharger.com Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. ================= De plus, je vais te demander de me fournir la marque et # de modèle de ton routeur (ou de ta "box"), ainsi que le nom de ton FAI s'il te plaît. ================= Un dernier scan : Télécharge MiniToolbox (de farbar) sur ton Bureau : http://download.bleepingcomputer.com/farbar/MiniToolBox.exe - Lance-le par double-clic et autorise son lancement - Coche la case "List IP Configuration" puis clique sur le bouton "GO" - Un rapport texte apparaîtra à l'écran et sera également sauvegardé sur ton Bureau ("Result.txt") ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. @++ Mark

Bonsoir Lestang, Non ça va pour le lien. Un Google rapide guidera les curieux Juste pour clarifier : c'est un outil de Kaspersky qu'on utilise beaucoup sur les forums qui t'a désinfecté le MBR. Tu peux donc éditer ton premier message et mettre "Résolu" dans le titre ? Sinon je le ferai demain @+ Mark

Bonjour soulatp, Heureux d'avoir pu t'aider La nouvelle machine avec un W7 "conforme" sera mieux sécurisée, c'est clair. Sage décision Pour ce qui est de Malwarebytes' Anti-Malware Pro et son module résident : ce programme est un "anti-malwares" et non un antivirus ; ses concepteurs offrent un moteur qui est complémentaire aux antivirus, donc pas de conflits. Si conflits remontés, c'est généralement très vite corrigé. La plupart des antivirus modernes offrent des détections "anti-spywares", tu as raison, mais les moteurs sont différents alors ça va. Il faut juste éviter de faire tourner Windows Defender ou tout autre "anti-malwares" avec module résident, tels SpyBot ou Ad-Aware, entres autres, pour éviter les conflits. La règle du "un seul antivirus et un seul pare-feu logiciel" tient aussi pour les anti-malwares résident. Il existe aussi une protection passive, très discrète, qui peut être combinée/ajoutée sans risque de conflits : il s'agit d'un fichier Hosts spécial, conçu pour bloquer les connexions vers des sites identifiés (malveillants). Ça ne bouffe pas de ressources et les blocages sont invisibles, donc efficace lorsque des utilisateurs à haut risque utilisent la machine. Moi j'utilise celui de MVPS (le site est en Anglais) : Blocking Unwanted Parasites with a Hosts File Voilà. N'hésite pas à venir demander conseil ; nous sommes là pour ça. @+ Mark

Bonjour à vous deux Je découvre ce sujet à l'instant. LadyHunter : tu es toujours là ? Si oui, je peux proposer quelque chose, si l'aide n'est pas venue ailleurs ? @+ Mark

Décidément, y a pas eu moyen pour moi de revenir sur le fofo durant le weekend... J'espère que la machine va toujours bien On va te faire un peu de ménage dans les outils utilisés : - Supprime TDSSKiller.zip, ainsi que le dossier extrait (sur le Bureau). Supprime également le fichier texte généré par l'outil, qui se trouve directement sur le C:\ - Supprime DDS.scr (sur ton Bureau) ainsi que ses rapports générés. - Clique sur le bouton Démarrer, puis tape exécuter dans la boîte et valide avec la touche [Entrée]. Tape ensuite la ligne suivante dans la boîte et clique OK : ComboFix /uninstall (à noter l'espace après "ComboFix") > Ceci va te désinstaller ComboFix proprement. Une barre de progression apparaîtra et ensuite une confirmation. C'est rapide. Il ne faut pas conserver ComboFix car il est mis à jour régulièrement et ne doit pas être utilisé sans supervision, de toute façon. ============ Pour la sécurité de la machine maintenant : Bon je vais pas te cacher que l'infection (ou plutôt les infections) est probablement entrée via un torrent infecté (programme uTorrent dans ton cas). On voit ça tout le temps, sur les forums. Si le système n'était pas à jour et qu'en plus il est modifié, ça n'aide pas non plus. La vieille version de Java qui était présente a pu contribuer aussi. Dans les rapports d'outils, on voit des détections qui confirment des modifications présentes. Par exemple, le processus explorer.exe (vital pour Windows) n'est pas signé numériquement et, d'après mes recherches, serait d'une version "RTM" de Windows 7, c'est-à-dire une version juste avant la sortie officielle du système au grand public. D'autres détections confirment que des Services ne tournent pas (tu me l'as confirmé..). Si le système tourne bien, je ne touche pas à ça, mais d'autres bénévoles de forums pourraient en décider autrement alors je te mets en garde, si tu reviens sur les forums : il est possible qu'un intervenant s'attaque à ces "problèmes", ne sachant pas que ton système est modifié, et ça pourrait aller (statu quo) ; ça pourrait aussi tourner au vinaigre... Le Service Pack 1 pour Windows 7 fait sa sortie officielle vers la fin de cette semaine, et sera dispo via les mises à jour automatiques. Difficile de savoir quand exactement elle seront offertes, mais je souhaite que tu puisses l'installer malgré l'état actuel de ton Windows 7 ("modifié"). Ton antivirus (Nod32 de ESET) est très bon, alors tu peux le conserver sans soucis et maintiens-le à jour, en tout temps. Je vois que Malwarebytes' Anti-Malware est aussi présent sur ta machine, mais n'est probablement pas à jour car il aurait dû détecter une infection que je t'ai virée manuellement. Lance-le et mets-le à jour (onglet "Mise à jour"), puis fais une Analyse Rapide pour contrôle. Si détections, laisse-le tout réparer et fais-moi signe, s.t.p. Juste por info, la version Pro (achat de licence) de Malwarebytes' Anti-Malware possède un module de protection résident avec, en prime, un bloqueur d'adresses IP malveillantes et les MAJ automatiques. Dans ton cas, je le conseillerais... === === Si commentaires ou questions, faut pas te gêner Surfez prudemment ! @+ Mark

Voilà une excellente nouvelle ! Je ne t'ai pas oublié. J'ai cependant oublié de me déconnecter hier soir et là j'ai une grosse journée... Je vais donc repasser sur le forum plus tard ce soir (nuit chez toi) et je te donnerai la suite des procédures. Nous n'allons que faire un peu de ménage et discuter des facteurs de risque. Je vais faire un petit retour sur les détections d'outils étranges causés par le système modifié et les risques qui y sont associés (pour ton info). @plus tard Mark

non... LOL. Pas tout de suite. Héhé. J'ai eu quelques chaleurs là, je te jure. Bon voici ce que je pense... On fait dodo et on se reparle demain. Je suis 6 heures derrière Paris alors tu auras du temps pour surfer et examiner le comportement de la machine avant mon réveil. Ça te va ?

Le rapport de ComboFix est propre à présent. Lorsque j'ai constaté l'état de la machine au tout début, je me disais que ça pouvait déraper à tout moment, mais j'ai tout de même décidé de tenter la désinfection. Cela dit, le pronostique n'est pas très bon lorsque ce genre d'erreur apparaît. Première chose à essayer : redémarrage du système (méthode "Arrêt complet" puis démarrage après 1 minute d'arrêt). Essaie tes programmes à nouveau. Deuxième chose (si nécessaire) : il te faut le DVD de Windows 7 Pro à portée de main. Ensuite, tu cliques sur le bouton Démarrer et tu tapes cmd dans la boîte de recherche. N'appuie pas sur [Entrée] mais enfonce plutôt les touches "CTRL"+"Shift"+"Entrée" puis relâche les trois, ce qui te donne une invite de commandes avec privilèges élevés, puis tu tapes ceci à l'invite de commandes : sfc /scannow (à noter l'espace après "sfc") > Tu valides ensuite avec la touche [Entrée] > Tu insères le DVD si demandé. Edit/ajout : si tu reçois le message d'erreur lors de l'exécution de sfc, ré-essaie en mode Sans Échec ou bien depuis un autre compte utilisateur. Dis-moi si ça aide... @+ Mark

D'accord... on va te la virer d'une autre façon. La uTorrent toolbar a été installée avec... uTorrent Voici la suite : Désactive Nod32 temporairement : ceci est très important. Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" tout le texte qui se trouve ci-dessous (en pâle) dans ce fichier : KillAll:: Folder:: c:\program files\uTorrentBar_FR c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299 Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"=- [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}] DDS:: FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ==== ==== Réactive Nod32 (ESET) et dis-moi si tu as toujours des détections, ou tout autre problème qui semble lié à une infection. @++ Mark

Voici la suite : Va dans le Panneau de config > Programmes et fonctionnalités puis désinstalle les programmes suivants : > Java™ 6 Update 18 (périmée et vulnérable) > uTorrentBar_FR Toolbar (vraiment utile ??? ton choix...) Quitte le Panneau de config lorsque terminé. Télécharge et installe la nouvelle version de Java à partir du lien suivant : Téléchargement gratuit du logiciel Java ============================== Ensuite : Supprime la copie de ComboFix qui se trouve sur ton Bureau (périmée). Télécharge (mais ne lance pas) la version à jour du lien suivant et sauvegarde-là sur ton Bureau : Bleeping Computer Downloads: ComboFix Download (choisis le premier lien > Bleeping Computer Mirror) Désactive Nod32 temporairement : ceci est très important. **Le script prescrit ci-bas a été préparé pour la machine de soulatp seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" tout le texte qui se trouve ci-dessous (en pâle) dans ce fichier : KillAll:: File:: c:\windows\system32\alk553F.tmp c:\windows\temp\nxiq\setup.exe Folder:: c:\program files\ConduitEngine Driver:: AMService Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{30F9B915-B755-4826-820B-08FBA6BD249D}"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "Glgqlpiklo"=- Netsvc:: vkjtjduq DDS:: FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com DirLook:: c:\users\leden\AppData\Roaming\94B6A705FFFE108827692408EB1A9299 *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ==== ==== Et dis-moi comment se comporte la machine... @+ Mark

Salut soulatp, Merci pour ta franchise... ça va nous éviter des manipulations plutôt risquées, sachant que le système est modifié. On reparlera de ça plus tard, de toute façon. Y a encore du boulot, mais TDSSKiller vient de virer une grosse infection. Il en reste et je dois préparer une manipulation qui me demande un peu de temps. Là c'est la bouffe alors je repasserai dans 2 heures (environ) pour la suite. @très bientôt, Mark

Avec un peu de retard... Bonjour soulatp On débute avec la procédure suivante : Télécharge TDSSKiller.zip (par Kaspersky) du lien suivant et sauvegarde-le sur ton Bureau : http://support.kaspersky.com/downloads/utils/tdsskiller.zip Extrait le contenu du fichier .zip sur ton Bureau. Ensuite, ouvre le dossier TDSSKiller et double-clique sur TDSSKiller.exe Clique maintenant sur "Start Scan" > Si un fichier infecté est détecté, l'action par défaut suggérée sera "Cure" ; clique sur "Continue" > Si un fichier douteux ("Suspicious") est détecté, l'action par défaut suggérée sera "Skip" ; clique sur "Continue" ** Il faut absolument laisser l'action "Skip" si un fichier douteux (et non infecté) est détecté ** > Un redémarrage sera demandé si nécessaire, alors clique sur "Reboot now" > Si le redémarrage n'est pas effectué, clique sur "Report" et le rapport s'affichera à l'écran ; copie/colle son contenu ici, s'il te plait. > S'il y a redémarrage, le rapport sera alors sauvegardé à la racine de ton lecteur système (souvent le C:\) et il aura un nom sous la forme suivante : "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" > Copie/colle le contenu de ce fichier ici, dans ta réponse. ==================== Je vois des détections étranges dans les rapports alors je te pose la question suivante : ton Windows 7 Pro est-il modifié ? Si oui, je devrai attaquer d'une façon différente, pour la suite. De plus, dis-moi si tu as le DVD pour Windows car il est possible qu'une réparation du système soit nécessaire. On verra... @+ Mark

Merci à nouveau pour le rapport Bon... J'ai du boulot avec ce que je vois là. Je devrai écrire une procédure assez complexe (mais simple à exécuter pour toi) et je manque de temps. Je vais donc repasser mais seulement très tard en soirée, ou durant la nuit chez toi. D'ici là, ne passe aucun outil s.t.p. et essaie de limiter le temps en ligne, car la machine est infectée en profondeur et pourrait être sous contrôle à distance. Petite note : une infection - et pas la moindre - traîne sur ta machine depuis la nuit de Noël... Beau cadeau, n'est-ce pas ?.. === Je repasse dès que possible. Merci pour ta patience @+ Mark

Merci pour les rapports Ok, il y a définitivement infection(s). Avant de nettoyer quoique ce soit, je vais te demander de me coller le rapport de ComboFix (que tu as utilisé), qui se trouve là > C:\ComboFix.txt >> Ne relance pas ComboFix s'il te plaît. Je veux juste regarder le rapport généré lors de son dernier passage. Merci.. @++ Mark

Je te souhaite la bienvenue sur nos forums, soulatp J'ai désactivé le lien que tu as mis vers un fichier exécutable, pour éviter à un membre ou visiteur téméraire de s'infecter en cliquant sur le lien. Mise en garde : l'infection signalée par Nod32 est assez puissante. Je déconseille à quiconque de suivre les liens indiqués dans le message ci-haut, au risque de s'infecter. Les liens ne sont pas actifs en ce moment, mais ça pourrait vite changer... ==== De retour à nos moutons : vu les alertes de Nod32, l'infection est possiblement présente sur ta machine, alors il faut regarder ça de plus près : Télécharge DDS (par sUBs) du lien suivant et sauvegarde-le sur ton Bureau : http://download.bleepingcomputer.com/sUBs/dds.scr Désactive la protection résidente de ton antivirus ; tu pourras la réactiver lorsque l'outil aura produit son rapport Double-clique sur dds.scr afin de lancer l'outil Deux fichiers texte apparaîtront lorsque l'analyse sera terminée, nommé DDS.txt et Attach.txt Sauvegarde ces deux fichiers texte sur ton Bureau Copie/colle le contenu de DDS.txt dans une première réponse ici, pour copie/colle Attach.txt dans une autre réponse pour éviter la surcharge dans le message. @++

Deuxième message : Bonsoir Bernard53, merci de bien vouloir prendre le temps de me donner des conseils, c'est sympa. J'ai décoché les 2 fichiers Launched qui doivent correspondre au fichier que j'ai installé aujourd'hui : Uniblue RegistryBooster Launched. Ensuite j'ai fait le nécessaire avec ZHPDiag, c'est assez long. Je mets le rapport ici. Cijoint.fr - Service gratuit de dépôt de fichiers Merci. ============================================== ============================================== Troisième message : Merci pour toutes ces démarches. J'ai essayé de tout faire dans l'ordre indiqué. J'ai lancé TFC mais il ne m'a pas demandé de redémarrer. Ensuite j'ai ouvert CMD, des erreurs ont été trouvées mais je ne sais pas lesquelles ni si elles sont corrigées maintenant. Pour mon CPU, il est moins utilisé, c'est surtout firefox et plugin container for firefox qui me prend de la place. Puis-je désinstaller registry booster? le rapport, si j'ai bien compris : <rapport très volumineux retiré - voir prochain message avec rapport en pièce jointe> J'ai un soucis toujours présent et qui me gène beaucoup, c'est que ma mémoire est toujours entre 1 et 1,4Go sur 2Go, alors que je ne fais qu'aller sur firefox.. Que pensez vous de mes nombreux svchost.exe Merci ========================================== ========================================== Quatrième message : Merci pour toutes ces démarches. J'ai essayé de tout faire dans l'ordre indiqué. J'ai lancé TFC mais il ne m'a pas demandé de redémarrer. Ensuite j'ai ouvert CMD, des erreurs ont été trouvées mais je ne sais pas lesquelles ni si elles sont corrigées maintenant. Pour mon CPU, il est moins utilisé, c'est surtout firefox et plugin container for firefox qui me prend de la place. Puis-je désinstaller registry booster? le rapport, si j'ai bien compris : Cijoint.fr - Service gratuit de dépôt de fichiers J'ai un soucis toujours présent et qui me gène beaucoup, c'est que ma mémoire est toujours entre 1 et 1,4Go sur 2Go, alors que je ne fais qu'aller sur firefox.. Que pensez vous de mes nombreux svchost.exe Merci ============================================= ============================================= Cinquième message : Merci pour toutes ces démarches. J'ai essayé de tout faire dans l'ordre indiqué. J'ai lancé TFC mais il ne m'a pas demandé de redémarrer. Ensuite j'ai ouvert CMD, des erreurs ont été trouvées mais je ne sais pas lesquelles ni si elles sont corrigées maintenant. Pour mon CPU, il est moins utilisé, c'est surtout firefox et plugin container for firefox qui me prend de la place. Puis-je désinstaller registry booster? le rapport, si j'ai bien compris : Cijoint.fr - Service gratuit de dépôt de fichiers J'ai un soucis toujours présent et qui me gène beaucoup, c'est que ma mémoire est toujours entre 1 et 1,4Go sur 2Go, alors que je ne fais qu'aller sur firefox.. Que pensez vous de mes nombreux svchost.exe Merci ========================================== ==========================================