Mark

Bonjour nanotek Je vais répondre à ta question de façon très vague : parfois oui, parfois non. Je ne peux en dire plus, pour toutes sortes de raisons. Cela dit, suis les instructions de pear et il pourra dépister des anomalies, si présentes. As-tu le lien de l'autre sujet s.t.p ? Merci Bonne continuation à vous deux. Mark

Rebonjour Pour le HDD, c'est pas mal étrange effectivement. Voici ce que RSIT voyait : T'inquiète pas pour le 131 vs 127 : c'est un facteur GB vs Go (Bits vs octets). Il y a peut-être un problème avec le disque ; le technicien aurait pu (dû ?) te passer un diagnostique dessus ; il existe des outils de manufacturiers de HDD pour faire cela. Mais il ne semble avoir rien fait ou dépisté à ce niveau, car il a tout simplement formaté et réinstallé, avec récupération de tes données. Ça affiche 320 maintenant ? Je ne connais aucun infection qui manipule ce genre d'information, de toute façon (aucun intérêt), alors le problème était autre. Pour AntiVir et Malwarebytes' : tu sais, quand on nettoie des machines sur forums, on recherche des outils efficaces, rapides et généralement gratuits. Si on "ne jure que par" quelques uns, parfois, c'est bien parce que ça marche avec un haut taux de succès, sinon on ne les utiliserait pas. Ça ne veut pas dire qu'ils attrappent tout, tout le temps, mais ils sont statistiquement très performants et à la portée de toutes/tous. Cela dit, il existe d'autres excellents produits, aussi ; certains Free, certains payants. La grosse infection mystérieuse, dans ton cas, j'y crois + ou -... car on voit pas mal tout ce qui circule, sur les forums, et ce que le technicien a décrit (à peine..), c'est inconnu pour moi. IL faut comprendre qu'un technicien veut faire un travail propre et efficace, en éliminant les risques de retours. De plus, un formatage efface toutes les traces, alors difficile de revenir en arrière pour investiguer. Voilà... @++ Mark

Bonjour à vous deux Si vous me permettez, une ou deux petites réflexions : nazimdoran : juste avant le plantage, tu avais passé CCleaner n'est-ce pas ? Avec un nettoyage de registre ?? Si oui, le problème peut être là... peut-être. Les nettoyages de registre peuvent être très risqués et nous voyons des plantages associés de temps-en-temps, sur les forums, que ce soit avec CCleaner ou d'autres nettoyeurs de registre. Si une clé du système est ciblée par erreur (par le nettoyeur), c'est la cata. Autre point : AntiVir réussi à se classer dans le top 5 des antivirus et ce, de façon régulière. Côté rapidité de mise à jour pour bestioles récentes, il rivalise souvent avec Kaspersky. Je l'utilise ici depuis des années maintenant. Mais comme le mentionne Thanos, aucun antivirus ne peut tout arrêter. J'aurais bien aimé voir le rapport d'antivirus de ce technicien, moi aussi... qui n'y connait rien aux infections, vraisemblablement, sinon il t'aurait mieux éclairé. En atelier, souvent (pas toujours), le formatage est la seule technique utilisée sur les machines infectées ou sur les machines avec un problème système "bizarre" car c'est pas mal sûr et ça évite les retours, et les questions... De plus, avec une récupération de données, c'est payant pour eux. Nous pouvons utilisé des CD bootables sur les forums, aussi, lorsque les machines ne démarrent pas. Tout comme Thanos, je ne vois pas quelle infection fait ce qu'a décrit le technicien Mais bon, une réinstallation a remis la machine sur pieds et le travail a bien été affectué, semble-t-il, alors ça va @++ Mark

Bonsoir Christelle, Merci pour ces détails Tout d'abord, il semble y avoir une solution toute simple pour le problème avec la mise à jour KB898461 : http://support.microsoft.com/kb/916246 >> Il suffirait de renommer le fichier "C:\Windows\System32\Spupdsvc.exe" ... tel que décrit dans l'article. Un redémarrage suite à celà, et ensuite une visite sur Windows Update pour prendre tout ce qui est offert (le SP3 inclus). Mais pas tout de suite, on va regarder du côté de CCleaner avant : ====== Les sauvegardes de CCleaner se retrouvent directement sur le "C:" Exemples (sur ta machine) : 2010-04-22 07:40:15 195424 ----a-w- C:\cc_20100422_094013.reg 2010-05-06 10:03:39 35714 ----a-w- C:\cc_20100506_120335.reg 2010-05-11 06:59:56 15386 ----a-w- C:\cc_20100511_085955.reg > Les dates sont en rouge (le 22 Avril, ensuite les 6 et 11 Mai) >> Pour réinstaller les clés de registre supprimées à une date indiquée, il suffit de double-cliquer sur le fichier choisi. Par exemple, si tu veux remettre les clés supprimés lors du nettoyage du 22 Avril, tu double-cliques sur le fichier suivant : C:\cc_20100422_094013.reg ... et tu acceptes la fusion avec le registre, à l'invite. Je te conseille donc de débuter avec celui du 22 Avril. Lorsque remis, tu redémarres la machine et tu constates s'il y a amélioration. Sinon, tu remets une autre sauvegarde de CCleaner et tu constates après redémarrage. Et ainsi de suite. Tu peux reculer de quelques mois si les sauvegardes y sont, sans problème (je ne les vois pas toutes, mais toi tu les verras clairement sur le C:). Perso, je n'utilise jamais les nettoyeurs de registre, justement pour éviter ce genre de pépin. Tu peux remettre quelques sauvegardes (disons 2 ou 3) et, si ça n'améliore pas les choses, reviens me le dire et je te ferai faire les mises à jour pour XP. @++ Mark

Bonsoir Pour ce qui est du SP3 : il s'agit du Service Pack 3 pour Windows XP, qui est une compilation de mises à jour importantes pour XP. Il y a le SP2 sur la machine actuellement et il faudrait passer au SP3 afin d'avoir toutes les mises à jour nécessaires au bon fonctionnement (sécuritaire) du système. Ceci est disponible via Windows Update, bien sûr, même en mode mises à jour automatiques. Ce choix vous a sûrement été proposé à plusieurs reprises, d'ailleurs, lors des mises à jour offertes par Microsoft. Je vais cependant te fournir un lien pour le télécharger directement, sans passer par Windows Update ; je te refile ça bientôt, car j'ai un ou deux trucs à vérifier avant de faire cette grosse mise à jour. J'aimerais savoir à quand remonte le début de ces problèmes avec la Barre des Tâches et appli qui bloquent, si ta mémoire te le permet Cela a-t-il débuté avec cette "infection" du 6 Mai ? Un peu avant ou après ? Je te le demande puisque je vois plusieurs sauvegardes de CCleaner, faites lorsqu'un nettoyage du registre est effectué ; ces nettoyages peuvent, eux-aussi, causer des problèmes alors je suis juste curieux... @toute Mark

Merci pour le rapport Pas de trace de l'infection soupçonnée/ciblée par ce tool. C'est donc autre chose, mais sérieux. Je te propose deux tentatives avant de fermer boutique : ====== Tout d'abord, désinstalle (si tu le peux) l'antivirus, car il ne se lance plus de toute façon. On t'en remettra un plus tard. 1) Retente ComboFix, mais en mode Sans Échec cette fois-ci. Avant de faire ceci, supprime l'outil ComboFix qui se trouve sur le Bureau, puis prends une copie fraîche ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Redémarre en mode Sans Échec et lance-le. Si tout va bien, le rapport sera sauvegardé à "C:\ComboFix.txt" > Colle le contenu de ce rapport ici, s.t.p. ===== 2) Essaie d'installer AntiVir (antivirus) : http://www.01net.com/telecharger/windows/S...ches/13198.html > Fais un scan complet avec, si possible. Colle son rapport ici pour examen. @++ Mark

Ah Oké je vois ; merci pour ces détails Tu sais, on ne supporte pas les systèmes piratés/copiés/crackés ici ; c'est comme ça sur une bonne quantité de forums, aussi. Cela dit, nous avons débuté des procédures de nettoyage et je ne m'opposerais pas à ce qu'on termine, à la condition qu'il y ait volonté de remettre un système légal, par la suite. Mais... tout semble bloquer, les outils ne tournent pas, etc... et c'est possiblement dû au système. Si c'est le cas, on ne pourra rien faire de toute façon et il te (lui) faudra réinstaller. As-tu passé TDSSKiller ? Si oui, as-tu le rapport ? @+ Mark

Bonjour cbr1975 Franchement désolé pour le délai.. Alors Comodo n'était pas responsable. Lorsque ce sera le temps de remettre un pare-feu, je t'en suggérerai un autre que celui-là. Les problèmes sont toujours les mêmes ? La Barre des tâches qui ne s'affichent pas toujours mais qui revient, certaines appli qui bloquent ? Je vais te demander de repasser DDS et de me coller le rapport, s'il te plaît. Je termine avec une question : avais-tu déjà songé à mettre le SP3 pour XP ? @toute Mark

Bonsoir bob2N Mais je crois tout le contraire Pour le SP1 : tu pourras lui rendre un grand service en lui mettant le SP3, dès que la machine sera propre (si jamais elle est nettoyable...). Pour IE : ne pas utiliser IE n'est pas une "excuse" valable pour ne pas le maintenir à jour. Il faut connaître Windows un brin ; IE fait partie de Windows donc n'est pas juste un navigateur Internet. Lorsque des failles existent (IE6 en est criblé), les pirates peuvent aisément exploiter ces failles via un autre navigateur( lire à travers..). C'est pour cette raison qu'il est impératif de maintenir IE à jour, avec sa plus récente version et avec tous les patchs. Il faut donc IE8, à jour. Mais là Windows Update ne fait plus rien puisqu'il détecte le SP1 seulement. Un système non supporté n'est pas mis à jour et les failles s'accumulent... Lorsqu'une infection frappe, les conséquences en sont amplifiées. Sur ce, je te souhaite de pouvoir remettre la machine sur pieds. @++ Mark

Bonsoir à vous deux Pour faire avancer, j'ai mis TDSSKiller.zip sur Senduit : http://senduit.com/9c74c5 Petite note perso : avec seulement le SP1 et IE6, il n'est pas surprenant de constater une tel massacre du système... De plus, avec le SP1, Microsoft n'offre plus de mises à jour... Bonne continuation Mark

Très bien Pour la suite, prends le temps nécessaire. Lis bien la procédure ci-bas avant de l'exécuter : ======= Avis aux visiteurs : cette procédure est personnalisée pour la machine de philipemile *Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus. Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) : http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe (pour XP seulement) - Ferme tous les programmes lancés/ouverts. - Lance l'outil par double-clic et suis les invites. - Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine. - Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente. **Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : mbr -f (il y a un espace après "mbr") - Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f) - Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt). - Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ; - Patiente 5 minutes, après le démarrage (ne lance rien). > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ===== *Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). == == Si tu as des questions, n'hésite pas @+ Mark

Bonjour philipemile Une manip rapide : =========== Télécharge l'outil suivant (de noahdfear) sur ton Bureau : http://noahdfear.net/downloads/HAMeb_check.exe > Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse. @+ Mark

Merci pour ce rapport, qui révèle la présence d'une autre infection assez coriace. pear va se délecter Juste pour ton info : ComboFix a traité plusieurs infections, dont une qui était très solidement ancrée. Tu avais lu les consignes avant de lancer ComboFix sans être guidé ? Par contre, tu as installé la Console de Récupération : très bien. Tu as toujours un faux antivirus installé (un rogue), que ComboFix a partiellement viré. La grosse infection qui traîne toujours donne le contrôle à distance de ta machine aux pirates, alors je te prie de limiter le temps en ligne au minimum, en attendant le retour de pear. Bon succès pour la suite.. Mark

Bonsoir vous deux, et désolé pour la petite intrusion. C'est juste pour faire avancer... philipemile : en plus du rapport GMER demandé par pear, pourrais-tu également copier/coller le contenu du rapport de ComboFix (que tu as déjà utilisé) s.t.p ? Le rapport est sauvegardé à "C:\ComboFix.txt" *Ne pas relancer ComboFix : nous voulons juste consulter le rapport. Merci...

Y a pas de quoi Bravo pour les manipulations et mises à jour Pour ce qui est de Malwarebytes' AntiMalware : c'est le meilleur nettoyeur grand public de l'heure, et je pense qu'il restera au sommet pendant un bout. La version gratuite peut être mise à jour manuellement et performe tout aussi bien que la version avec licence, côté nettoyage. Une licence te donne la protection en temps réel (très bien) et les MAJ automatiques. Quant au pare-feu de Sunbelt, il est très bon ; la version payante est supérieure à la version gratuite, avec plus d'options et de couches de protection bien entendu, mais la Free est très bonne aussi. Dans le Free, il y a Outpost (d'Agnitum) et Online Armor qui sont excellents, aussi. L'un ou l'autre de ces trois-là serait un excellent choix. Tu sais, plus de 80% des cracks qui circulent sont infectés. C'est le vecteur de propagation favori des pirates, depuis un bout déjà. Le crime organisé fait des fortunes via les machines infectées, partout dans le monde, et il faut en être conscient, voire le crier haut et fort dans notre entourage. Lorsque tu auras désinstallé l'outil depuis l'autre session, AntiVir devrait retourner un rapport clean par la suite. Si t'as d'autres questions, pas de gêne surtout. Et sois prudent, sur la toile.. Bonne fin de soirée Mark

Bonsoir Y avait du monde, en effet ! Bon, c'est pas trop compliqué et je vais te montrer : Le dernier rapport (le premier de la liste) : il montre des fichiers en "C:\HelpAsst_backup\", ce qui est la quarantaine de l'outil de désinfection de noahdfear. Ces fichiers disparaîssent au moment de la désinstallation (qui n'est pas encore faite ). On voit aussi des fichiers sous "C:\System Volume Information\_restore" ; c'est la Restauration de Windows, donc pas de soucis, et ces fichiers n'y sont plus à présent Il reste un truc non traité : AntiVir est incapable de l'ouvrir, donc ne peut pas le traiter. Tu devras le supprimer manuellement Le second rapport montre aussi des trucs en Restau et des cracks infectés. Le premier rapport (le dernier de ta liste) nous montre un peu l'état de la machine avant désinfection, avec tous les cracks infectés. AntiVir et les autres bons antivirus sont incapables de venir à bout d'une telle infection... Je n'ai pas à te pointer du doigt la cause de tes soucis... Il ne reste donc que ce truc pour Crysis Warhead à dégager, car AntiVir ne peut pas le faire. Pour le reste (les trucs en quarantaine et en Restau), ils n'y seront plus lorsque tu auras terminé le petit nettoyage d'outils. @+ Mark

Bonjour AntiVir a-t-il trouvé tout ça avant ou après la désinstallation de ComboFix ? Bon, on va faire plus simple et je vais te demander de poster le rapport d'AntiVir. Je pense qu'il pourrait s'agir de fichiers en quarantaine ou bien dans des points de Restau. Tu peux retrouver le rapport en lançant le programme (double-clique sur le parapluie, près de l'horloge) et clique sur "Rapports" (à gauche), puis choisis/ouvre le rapport du scan complet en double-cliquant dessus (dans la fenêtre de droite). Copie/colle le son contenu ici, pour vérification. Tu n'as pas à t'inquiéter pour les fichiers en quarantaine ; aucune urgence de les supprimer car ils sont au frais et sans danger. @++ Mark

Bonjour Eneris ; Bien joué à nouveau On va maintenant faire le ménage des outils et ensuite je te parle de mises à jour.. ========== Clique sur "Démarrer" > "Exécuter..." puis copie/colle ou tape ceci dans la boîte et clique "OK" : ComboFix /uninstall (il y a un espace après "ComboFix") Patiente 2 ou 3 minutes après sa désinstallation, puis lance Tools Cleaner et laisse-le nettoyer ce qu'il trouve. ~~~~~~~~~~~~~~~~~~~ Il n'y a pas d'urgence à désinstaller l'outil de noahdfear, mais tu devras le faire éventuellement et, pour le faire, tu devras te logguer sur la nouvelle session (créée hier). Lorsque tu seras loggué sur la session "Balzac", fais ceci : > Clique sur "Démarrer" > "Exécuter...", puis copie/colle (ou tape) la ligne suivante dans la boîte et clique "OK": helpasst -cleanup (il y a un espace après "helpasst") - Lorsque la routine aura complété son boulot (c'est rapide), supprime "HelpAsst_mebroot.fix.exe"qui se trouve sur le Bureau. Si tu n'avais pas encore supprimé le premier outil utilisé (de noahdfear), il est temps de le faire. **Maintenant qu'il n'y a plus de traces d'outils sur le Bureau du compte "Balzac", ce dernier n'est plus réellement utile et peut être supprimé. Cependant, je te conseillerais de le garder, simplement parce que le compte "Administrateur" par défaut n'existe plus et qu'il peut être pratique d'avoir un deuxième compte avec pouvoirs administrateur, sur la machine, surtout après le constat fait ici, c'est-à-dire le nom de ton compte principal qui pose problème avec certains outils de désinfection. Pourquoi le compte "Administrateur" n'est-il pas là ? C'est peut-être l'infection qui a fait ça mais je n'en suis pas certain. De toute façon, plusieurs gens renomment ce compte "Administrateur" lorsqu'ils installent Windows, ou bien le suppriment par la suite. Le compte n'est pas plus puissant ni plus utile que tout autre compte avec pouvoirs admin ; c'est juste un compte installé par défaut, qui peut dépanner. Si tu décides de conserver le nouveau compte, tu peux désactiver sa présence à l'écran d'accueil via TweakUI en le décochant ; il sera donc toujours là, mais visible seulement si tu utilises le mode Sans Échec, ou bien si tu le remets visible via TweakUI, bien sûr.. ~~~~~~~~~~~~~~~~~~~ Pour les mises à jour maintenant : tu sais, même si tu utilises FireFox, les failles d'un ancien IE peuvent être exploitées par les infections car IE fait partie du système d'exploitation Windows, donc n'est pas seulement un navigateur Internet. Les failles peuvent être exploitées directement à travers FireFox ; c'est un peu complexe, mais je peux te dire que ça arrive. Il faut donc toujours maintenir IE à jour, peu importe si on l'utilise ou pas. Il est vrai que FireFox était mieux sécurisé qu'IE6, mais ce n'est plus le cas avec IE8, qui est beaucoup mieux que le 6 et même le 7. Cela dit, il semblerait qu'IE8 soit mieux sécurisé que FireFox à présent. Moi j'utilise toujours FF, mais je le fais surtout parce que je le trouve plus fonctionnel pour le boulot que je fais sur les forums. Et je suis prudent, aussi Pour le Service Pack 3 : très stable, pas de problème. Il te permet également d'être à jour avec les mises à jour de sécurité pour XP ; un must. Tu peux donc prendre le SP3 et IE8 directement sur Windows Update. Adobe Reader : tu as la version 8, qui est ancienne, criblée de failles de sécurité et permet l'exécution de codes malicieux. Il te faut donc prendre la version 9.3 : http://get.adobe.com/fr/reader/ > Prends la version sans l'ajout proposé sur leur site (le "McAfee Security Scan", ou autre truc inutile...). > L'ancienne version sera désinstallée automatiquement. ~~~~~~~~~~~~~ ~~~~~~~~~~~~~ Je crois que c'est tout. Si tu vois autre chose, fais-moi signe @++ Mark

Bonjour Eneris ; Y pas de quoi On va tout d'abord terminer le petit ménage ; des restes, essentiellement, et un piratage d'Internet Explorer par proxy. Ensuite, il restera quelques mises à jour importantes à faire et du ménage dans les outils, mais pas tout de suite. J'aimerais que tu regardes dans le panneau de config > Ajouts/Suppressions de programmes : s'il reste quelque chose pour l'antivirus Nod32 (ESET), désinstalle-le. Tant qu'à y être, désinstalle la "Family Toolbar", à moins que tu veuilles vraiment la conserver ; ce n'est pas un grand risque que cette toolbar, mais ça installe des trucs inutiles qui chargent le système et qui pourraient, à la limite, retourner des informations sur tes habitudes de surf - à ton insu. On poursuit avec le petit nettoyage. Depuis ta session habituelle : ====== **Le script prescrit ci-bas a été préparé pour la machine d' Eneris seulement et ne dois pas être exécuté sur une autre machine** Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ): Driver:: NOD32FiXTemDono Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000000 DDS:: uInternet Settings,ProxyOverride = <local> uInternet Settings,ProxyServer = http=127.0.0.1:5555 *Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale) Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus. ComboFix sera lancé. *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal. Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher : poste son contenu dans ta réponse. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt === === Par curiosité : lance TweakUI, clique sur "Logon" et dis-moi si le compte "HelpAssistant" a disparu. Regarde également pour le compte "Administrateur", s'il y est de retour. Je termine avec une petite question : as-tu déjà songé à installer Internet Explorer 8 ? Et le Service Pack 3 pour XP ? Tu sais, sans IE8 et le SP3, ta machine est d'autant plus vulnérable à toutes sortes d'attaques et infections... On peut en discuter, si tu veux @+ Mark

Exécuté à la perfection C'est du bon travail : l'infection a été éradiquée Je vais devoir quitter le clavier pour plusieurs heures. Il nous reste un peu de boulot, mais le pire est derrière nous. Tu peux utiliser la machine jusqu'à mon retour, sans soucis, mais surfe prudemment surtout. Conserve les outils et je te prescris la suite dès que possible. Tu peux utiliser ton compte habituel. @bientôt (demain matin, probablement). Mark

Bien joué On attaque maintenant.. ============= Avis aux visiteurs : cette procédure est personnalisée pour la machine d'Eneris *Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus. Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) : http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe (pour XP seulement) - Ferme tous les programmes lancés/ouverts. - Lance l'outil par double-clic et suis les invites. - Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine. - Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Cette étape-ci n'est à exécuter que si l'outil n'a pas trouvé d'infection du MBR durant l'étape précédente. **Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine : > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : mbr -f (il y a un espace après "mbr") - Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f) - Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt). - Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ; - Patiente 5 minutes, après le démarrage (ne lance rien). > Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" : helpasst -mbrt (il y a un espace après "helpasst") - L'outil va tourner, puis produire un rapport ; - Copie/colle le contenu de ce rapport ici, dans ta réponse. ===== *Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). ==== ==== N'hésite pas à poser des questions, si nécessaire Bon succès, et à bientôt Mark

Bonjour Eneris Ah là-là, c'est l'infection qui a fait ça... Le compte "Administrateur" n'y est pas, effectivement. Nous avons deux choix : renommer ton compte ou en créer un nouveau. J'aime moins l'option de renommage, alors je te suggère de créer un nouveau compte utilisateur, de type "Administrateur" (et non "Limité"). Assure-toi de le nommer simplement (un nom/mot, sans symboles ni espaces). On pourra le supprimer lorsque tout sera terminé. Le compte "HelpAssistant", quant à lui, sera supprimé lors de la désinfection. Tu devras passer par le Panneau de Config > "Comptes d'utilisateurs" > "Créer un nouveau compte" Si ça ne fonctionne pas, je trouverai un moyen de te faire exécuter les manipulations avec le compte existant. @bientôt, Mark

Merci pour le rapport Je crois savoir pourquoi l'outil de noahdfear coince : c'est probablement le nom de ton compte utilisateur, qui contient le symbole "&" avec espaces avant et après. As-tu un autre compte avec droits administrateur sur la machine ? Si oui, refais la manip depuis ce compte-là (l'outil HAMeb_Check). Sinon, je vais te faire afficher le compte "Administrateur" par défaut, à l'écran d'accueil, qui est caché par défaut sur XP. Pour afficher le compte, voici une méthode simple : - Télécharge l'outil TweakUI du lien suivant et sauvegarde-le sur ton Bureau : http://download.microsoft.com/download/f/c...wertoySetup.exe - Lance le fichier par double-clic et installe l'outil. - Lorsque l'installation sera complétée, tu pourras lancer l'outil via "Démarrer" > "Tous les programmes" > "Powertoys for Windows XP" > "TweakUI" ; > Dans le volet de gauche, clique une fois sur "Logon" ; > Dans le volet de droite, coche Show "Administrateur" on Welcome screen ; > Clique sur "OK" pour valider et fermer le programme. > Redémarre ta machine et tu verras le compte "Administrateur" dans les choix offerts. > Va dans ce compte et fais la procédure pour HAMeb_Check **Edit : tu n'auras pas l'outil sur ton Bureau (c'est un autre compte), alors télécharge-le à nouveau : http://noahdfear.net/downloads/HAMeb_check.exe > Copie/colle le rapport ici, dans ta réponse. Bon succès Mark

Bonsoir à vous deux, et Merci à Apollo Eneris : la machine est infectée en profondeur. Il faut faire preuve de patience et suivre les instructions à la lettre, dorénavant. Si je dis ça, c'est bien pour éviter que tu ne te retrouves dans le pétrin. Tu ne dois ni "improviser", ni suivre les instructions proposées à d'autres membres, ni prendre de l'aide sur un autre forum en simultané (fais-moi signe si tu as posté ailleurs, s'il te plaît). ComboFix a déjà fait un gros ménage, mais il reste pas mal de boulot, surtout sur une infection qui installe le contrôle à distance de ta machine (par le pirate). C'est sérieux, ce type d'infection. Je vais procéder par étapes, en essayant d'être le plus clair possible ; si tu as des questions en cours de route, il ne faut pas te gêner. ========== Tout d'abord, supprime la version de ComboFix qui se trouve sur ta clé USB et prends la nouvelle version : http://download.bleepingcomputer.com/sUBs/ComboFix.exe - Dépose cette version sur le Bureau mais ne la lance pas. - Installe maintenant la Console de Récupération tel que prescrit par Apollo dans un message précédent (fais un Glisser/Déposer du fichier sur ComboFix et laisse-le bosser). Il faut désactiver l'antivirus avant de faire cette manip. - ComboFix va faire une analyse automatiquement ; tu pourras fermer le rapport en fin d'analyse. Tu retrouveras ce rapport, qui est sauvegardé là >> C:\ComboFix.txt (je te le demanderai plus tard..). ~~~~~~~~~~~~~~~~~~~~ Un autre outil à passer : Télécharge l'outil suivant (de noahdfear) sur ton Bureau : http://noahdfear.net/downloads/HAMeb_check.exe > Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse. Colle également le contenu du rapport de ComboFix (C:\ComboFix.txt) Merci Possible que je ne revienne pas ce soir. Je regarderai donc les rapports et te mettrai les prochaines instructions à suivre dès mon retour, dans quelques heures. @+ Mark

Bonjour Jokil ; En principe, formater le C: fera très bien l'affaire. Cette famille d'infections ne touche que le lecteur système. Tu peux même sauvegarder les quelques données qui s'y trouvent ; ces dernières doivent être fiables par contre... Oublie ComboFix. Il ne pourrait pas réparer ce Windows, car il n'est tout simplement pas codé pour ça et ton système "allégé" ne pourrait lui fournir ce dont il a besoin. Bon succès pour la réinstallation. Je laisse ce topo ouvert, si jamais tu avais des questions @+ Mark