oGu

Re! Sportif, c'est sûr, par contre efficace, pas vraiment...on patine pas mal, mais on avance rationnellement ! On continue les recherches : CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) VIRUSTOTAL Rends-toi sur le site VirusTotal en cliquant sur cette image: Copie cette ligne rouge: C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\pciide.sys Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image: Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. ESET ONLINE SCANNER Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo: Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur" Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start" Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives" Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats": Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close" Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse Nota : ce scan peut être très long et prendre plusieurs heures.

Salut! Je reproduis ton mp pour que cela soit plus simple : détections ESET : Tu as installé des cracks infectés...quand on vous dit d'abandonner ces trucs-là! On va procéder en deux temps : d'abord du nettoyage (encore une fois...), ensuite des scans pour s'ouvrir de nouvelles pistes de recherche : Il va d'abord falloir shooter le jeu Diablo, qui en + se connecte au Web, et le truc Turtle : on y va par étapes : 1- NETTOYER LES POINTS DE RESTAURATION Ils présentent des restes d'infection: ils sont donc inutilisables et doivent être supprimés, puis remplacés. Va dans le menu "Démarrer" Clique droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", sélectionne "Désactiver la Restauration du système sur tous les lecteurs". Clique sur "Appliquer." Lorsque le message de confirmation apparaît, clique sur "Oui" Clique enfin sur "OK". Redémarre Puis: Va dans le menu "Démarrer" Clique droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", décoche la case "Désactiver la Restauration du système sur tous les lecteurs". Clique sur "Appliquer." Lorsque le message de confirmation apparaît, clique sur "Oui" Clique enfin sur "OK". 2- ATAPI.SYS SAIN Télécharge cette version saine du driver atapi sur ton Bureau : 3- CRÉATION/EXÉCUTION D'UN CFSCRIPT Remplace ta version de ComboFix par celle-ci à jour : Télécharge ensuite ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) ************************************************************* 4- VIRUSTOTAL Rends-toi sur le site VirusTotal en cliquant sur cette image: Copie cette ligne rouge: C:\WINDOWS\system32\drivers\ndis.sys Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image: Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. 5- MALWAREBYTES ANTI-MALWARE Lance-le en double-cliquant sur son raccourci Connecte tes clés USB et ton disque dur externe Rend-toi dans l'onglet "Mise à jour" et clique sur "Recherche de mise à jour" Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet": Clique sur "Rechercher" Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques: Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Redémarre ton PC KASPERSKY Edit : le scanner est en maintenance, on verra ça plus tard.

Salut! Navré de ce qui t'arrive !! Mais que s'est-il passé? Nous n'avons rien fait depuis hier, et le PC marchait bien, non? as-tu installé un logiciel, fait une manipulation, ou quoi que ce soit qui pourrait expliquer ce dysfonctionnement? y-a-t-il eu une coupure de courant, ou ton PC s'est-il éteint brutalement? que t'indique le message d'erreur quand tu essaies de démarrer ton PC? Un truc du genre "hal.dll manquant"? A priori, avec la Console de Récupération, on devrait pouvoir réparer tout ça. En cas de gros coup dur inexplicable, le Live CD Ubuntu permet de récupérer les documents de Windows assez simplement. Courage!

Salut vous deux! Certains HIPS permettent ça, mais ça fait installer un gros logiciel bien compliqué pour pas grand chose...

Ben non, je travaille demain ! ComboFix se trompe pour BitDefender, c'est tout. Bon appétit et à + tard!

Bon, ça me paraît aller pas mal. Peux-tu poster un nouveau rapport RSIT s'il te plaît? Ca permettra de faire un bilan d'ensemble avant d'attaquer le redoutable IncrediMail !!

Bonsoir chère collègue! Mmmmh, je crois que sur ce coup-là ma responsabilité est supérieure à la sienne ! En + du rapport ComboFix, poste-moi le rapport MBAM dont tu parles : il est dans l'onglet Rapports/logs de malwarebytes. A bientôt.

Re. Remplace ton ancienne version de ComboFix par celle-ci (clique sur le logo) : puis passe ce CFScript : WINFILE REPLACE Télécharge Winfile Replace de Loup Blanc sur ton Bureau en cliquant sur ce lien: http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe Ferme tous les programmes et double-clique sur l'icône WinFileReplace Dans le menu qui apparaît , saisis F puis clique sur Entrée pour mettre le programme en Français. Le programme se lance et vérifie ta version de Windows. Le bloc-note s'ouvre : copie les lignes rouges suivantes et colle-les dans ce Bloc-notes : atapi.sys Ferme le bloc-note en enregistrant les changements. Le service pack correspondant à ton système va être alors téléchargé. Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre). Tu dois ensuite accepter le contrat d'utilisateur de Microsoft Confirme la restauration du fichier en appuyant sur la touche o puis sur Entrée Une fois le remplacement effectué, tu devras faire redémarrer l'ordinateur en appuyant sur la touche o puis sur Entrée. Au redémarrage, un rapport s'ouvre qui vérifie et t'indique si la restauration a réussi. ESET ONLINE SCANNER Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo: Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur" Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start" Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives" Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats": Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close" Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

Un fichier TDSS a été mis à jour : le problème c'est qu'on ne voit toujours pas où est le cœur de ce malware...On passe un nouveau script et on continue les recherches: CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) VIRUSTOTAL Rends-toi sur le site VirusTotal en cliquant sur cette image: Copie cette ligne rouge: c:\windows\system32\DRIVERS\atapi.sys Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image: Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. GMER Déconnecte toi d'internet et ferme tous les programmes. Lance gmer.exe (tu l'avais téléchargé précédemment sur ton Bureau) Clique sur l'onglet "rootkit" Clique sur "Scan" A la fin de la recherche, clique sur "Save" et enregistre le fichier log sur ton Bureau, en le nommant Gmer_rapport Poste le rapport sur le forum

Salut! Tu as chopé une belle saloperie...Je dois consulter des collègues afin d'y voir plus clair. J'espère qu'on viendra à bout de ce rootkit! En attendant mon retour, utilise le moins possible ce PC, TDSS vole les mots de passe et autre joyeusetés de ce genre. A+

Salut. Comment tu procèdes pour quoi ? Spybot est intrinsèquement dépassé : il ne dispose pas de moteur heuristique de détection ni d'un driver susceptible de shooter les rootkits. Garde-le si tu aimes bien le tea-timer (qui n'empêchera pas les infections les plus coriaces cependant), et conserve MBAM sur ton PC, qui lui est efficace. Peux-tu poster un dernier log RSIT?

Et dans la quarantaine de Kaspersky?

J'aurais besoin de ce fichier pour le remonter aux éditeurs antivirus : dans Malwarebytes, va dans l'onglet Quarantaine et restaure le fichier tdlclk.dll.vir (ce sera sans danger). Edit: Kaspersky a donné des informations très précieuses! On continuera ce soir. Puis : UPLOAD DES MENACES Télécharge la toute dernière version de CatchMe en cliquant sur ce logo : Double clique sur catchme.exe : une fenêtre noire s'ouvre, on patiente, puis une interface graphique apparaît. Clique sur le bouton "ADD" et va chercher le fichier C:\Qoobox\Quarantine\C\WINDOWS\system32\tdlclk.dll.vir (il apparaîtra dans la liste) Même chose pour ce fichier :C:\WINDOWS\system32\tdlwsp.dll Clique sur le bouton "ZIP" et un zip sera créé sur le bureau, contenant les fichiers. Il se nomme "catchme.zip" Uploade ensuite ce zip sur le site SENDUIT: clique sur ce lien: http://www.senduit.com/ puis sélectionne le zip en cliquant sur "parcourir". Donne-lui une durée de vie de 72 heures en réglant la catégorie "Expire in" sur "3 days". Uploade ensuite le zip en cliquant sur le bouton "Upload". SENDUIT va générer le lien vers le fichier, avec une adresse de type http://senduit.com/xxxxxx: communique-moi ce lien en m'envoyant un message privé.

Ok, c'est noté. Les résultats sont ambivalents dans l'immédiat. Quand tu auras tout terminé, poste un nouveau message pour signaler que tu as fini, de manière à ce que le forum m'en informe par mail. A+!

Salut. Ni "bonjour" ni "merci", et tu réclames de l'aide en utilisant l'impératif? La grande classe !!! Il est IMPERATIF que TOUTES tes clés USB, TOUT tes disques durs externes, TOUTES tes cartes mémoire et cartes Flash, TOUT tes lecteurs MP3, bref TOUT ce qui se branche sur ton PC (iPod, Nintendo chépakoi...) soit BRANCHES sur ton PC durant cette procédure. CCLEANER SLIM Télécharge CCleaner SLIM en cliquant sur l'image: Installe-le (si tu tournes sous Vista, fais un clic droit sur le fichier que tu as téléchargé, et sélectionne "exécuter en tant qu'administrateur"), puis lance-le Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" MALWAREBYTES ANTI-MALWARE Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le (si tu tournes sous Vista, fais un clic droit sur le fichier que tu as téléchargé, et sélectionne "exécuter en tant qu'administrateur"): une mise à jour doit normalement s'exécuter toute seule Une fois installé, lance-le en double-cliquant sur le raccourci Connecte tes clés USB et ton disque dur externe Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet": Clique sur "Rechercher" Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques: Lance le scan en cliquant sur le bouton "Lancer l'examen" A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Redémarre ton PC ESET ONLINE SCANNER Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo: Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur" Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start" Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives" Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats": Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close" Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse RSIT Télécharge sur ton Bureau random's system information tool (RSIT) par random/random en cliquant sur cette image: Double-clique sur RSIT.exe afin de lancer RSIT .Si tu es sous Vista, fais un clic droit sur RSIT.exe et sélectionne "exécuter en tant qu'administrateur" Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Re! Le rapport est propre. Mais TDSS est un malin, donc on va continuer à s'assurer que tout va bien. MALWAREBYTES ANTI-MALWARE Lance-le en double-cliquant sur son raccourci Connecte tes clés USB et ton disque dur externe Rend-toi dans l'onglet "Mise à jour" et clique sur "Recherche de mise à jour" Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet": Clique sur "Rechercher" Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques: Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Redémarre ton PC RAPPORT KASPERSKY Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Fais redémarrer ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte habituel Connecte tes clés USB et ton disque dur externe Puis lance un scan KASPERSKY et supprime tout ce qu'il te trouve. Poste le rapport que KASPERSKY va générer

Salut! De mauvaises nouvelles : le dernier rapport montre un rootkit MBR : or les rapports précédents ne le mentionnaient pas (c'est pour ça que tu dois laisser tous les rapports pour comparaison !) On va tâcher de réparer ça : au passage je dois aussi supprimer un driver Daemon Tools infecté : aussi ne t'étonne pas si Daemon Tools ne fonctionne plus (il te suffira de le réinstaller) : 1- VIRUSTOTAL Rends-toi sur le site VirusTotal en cliquant sur cette image: Copie cette ligne rouge: c:\windows\system32\ntoskrnl.exe Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image: Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. 2- VIRUSTOTAL #2 Même opération mais avec les fichiers suivants : c:\windows\system32\drivers\ACPI.sys c:\windows\system32\drivers\atapi.sys 3- FICHIER INFECTE Recherche le fichier suivant sur ta machine (son chemin n'apparaît nulle part dans les rapports): weawa.scr et supprime-le, puis vide ta Corbeille. 4- CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Salut! Tu peux le faire maintenant si tu veux, mais il n'y a pas d'urgence véritable, car ta machine sera remise sur pied et ne plantera pas. Don't worry! Si, parfois, mais pas dans ton cas. Ok. SmitFraudFix t'avait-il découvert quelque chose? C'est à dire? Tu ne peux toujours pas naviguer normalement? Oui, je parle bien de ce truc là! Tout le monde le trouve sympa et funky, mais il ne respecte pas la vie privée et est considéré comme un espion (pas bien méchant, mais quand même!). On transférera tes mails vers un gestionnaire plus sobre mais sain. Oui, Shareaza est à bannir, comme d'ailleurs le peer-to-peer en général. Je vois que tu as des traces d'eMule aussi. J'avais rédigé un petit article sur les dangers du peer-to-peer, je te donne le lien (clique sur la bannière): On va enlever les traces de Shareaza, par contre les clés de Symantec sont insignifiantes. Je l'ai débusqué dans un dossier grâce au script, donc on va le supprimer. Au fait, j'ai une question : connais-tu ce site qui apparaît dans les éléements de ton navigateur : http://www.qurancomplex.org/ ? Il a installé une sorte de plugin. Je ne parle pas arabe (c'est un de mes grands regrets!), donc je ne peux pas savoir si ce site est légitime. Donc dis-moi ce qu'il en est si tu peux. CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Re. Oui, laisse ComboFix faire TOUT ce qu'il veut ! On continue : CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Re. ComboFix supprime certains fichiers, et liste un rapport détaillé des éléments potentiellement infectés de ta machine. C'est un outil tellement puissant que mal utilisé, il pourrait te flinguer ton Windows. A tel point que sUBs, son créateur, en interdit l'utilisation, sauf aux helpers qui ont été formés en ayant accès à la documentation de cet outil, que sUBs distribue au compte-goutte. Par ailleurs, il faut que le rapport soit analysé pour, ensuite, utiliser des scripts faits sur-mesure, en fonction de l'infection de ton PC. Seuls les helpers formés connaissent la syntaxe complète des scripts. Non. Les outils antimalware cryptent/modifient les fichiers en les mettant en quarantaine. Ils sont donc inoffensifs. Bon, quelques remarques avant d'attaquer : As-tu utilisé SmitFraudFix de S!ri dernièrement?? Tu as installé Firefox2? Car là on en est à la 3.5 ^^! Incredimail est un spyware, il faudra s'en débarrasser. On fera ça proprement en fin de procédure. 1- VIRUSTOTAL Rends-toi sur le site VirusTotal en cliquant sur cette image: Copie cette ligne rouge: Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image: Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. 2- HOSTS PAR DEFAUT Télécharge ce fichier HOST basique (clique sur l'image) et enregistre-le IMPERATIVEMENT sur ton Bureau : 3- CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Re! Pourquoi as-tu supprimé les rapports précédents de ComboFix? Je fais comment pour les comparer maintenant ?? Le dernier rapport que tu as posté (en effet, ils sont dans Qoobox, sorry!) est daté du : 30/10/2009 à 0:06 Moi il me faudrait celui du 18 novembre, 13 h 22.

Salut! J'en profite pour répondre à certaines questions que tu me posais par mp : Ne t'inquiète pas, on va y arriver! Un "pro" en boutique ne saura pas désinfecter le PC : il se contentera de réinstaller XP après avoir fait une sauvegarde de tes documents, et te prendra 80 euros au passage. Au pire, si on échoue à réparer ton Windows (mais je ne vois vraiment pas pourquoi!), je te guiderai pour réinstaller XP, et ce sera gratuit. Non, la dernière version répare ce léger dysfonctionnement. Je reviens bientôt avec la suite. Bye!

Salut! J'ai de bonnes nouvelles : alors que TDSS est d'ordinaire un rootkit puissant, dans ton cas visiblement, il ne s'est pas installé. Kaspersky a du faire son boulot. D'ailleurs un collègue désinfecteur (Apollo, merci à lui!) qui connaît très bien Kaspersky me souffle que le fichier dont il est question (celui-ci : C:\WINDOWS\system32\tdlwsp.dll )doit être dans la quarantaine de ton antivirus : peux-tu y jeter un oeil pour voir? En tout cas cette dll n'apparaît pas dans les rapports, ni quoi que ce soit correspondant à TDSS. Mais comme ce rootkit est un malin, on va quand même s'assurer qu'il n'y a vraiment rien avec un scan supplémentaire : COMBOFIX Télécharge ComboFix de sUBs sur ton BUREAU en cliquant sur cette image: ** IMPORTANT !!! Il est impératif d'enregistrer ce logiciel sur ton Bureau, MAIS en lui changeant son nom : aussi, avant de l'enregistrer, quand la boîte de dialogue apparait, renomme Combofix en Fomcobix, comme indiqué sur l'image : Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils Connecte tes clés USB et ton disque dur externe Fais un double clic sur Fomcobix.exe & suis les invites. Lors de son exécution, Fomcobix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!). Suis les invites pour permettre à Fomcobix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows. **Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles. Une fois que la Console de récupération Microsoft Windows est installée via Fomcobix, tu devrais voir le message suivant: Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles. Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse: Nota : il se peut que Fomcobix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode: Clique sur le bouton Démarrer. Clique sur l'option de menu Paramètres. Clique sur l'option Panneau de configuration. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

Bon, sans doute un bug passager de ComboFix. J'ai alerté le développeur (sUBs) pour voir. Peux-tu également me poster ce rapport : C:\ComboFix5.txt daté du 18 novembre à 13:22 Je regarde ça demain. Bye!

Ok, je pose la question au développeur dès demain.