Falkra

OK. L'opération étant difficile, je préfererais que tu commences par sauvegarder tes documents personnels, au cas où. Par documents personnels, je veux dire ce qui est important, les e-mails, les documents word/excel, tout ça tout ça.

Ca, il fallait qu'on le fasse, de toute façon. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Trend a rajouté un contrôle de lien (c'est très pénible). Il faut d'abord aller sur leur page et cliquer sur le lien marqué "executable" http://free.antivirus.com/hijackthis/ Ceci sous "Version 2.0.4"

Ca, ce sont des restes dans la restauration système : ils sont inactifs. Purge la restauration système. Désactive-la : http://www.libellules.ch/desactiver_restauration.php Puis réactive-la pour purger les points de restauration infectés.

Voilà.

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance le fichier téléchargé par clic droit, exécuter en tant qu'administrateur. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Je déplace.

Ok, c'est impeccable. Ne supprime rien, on continuera ce soir, je dois aussi m'absenter. Je te proposerai une procédure propre pour supprimer les rapports et outils en trop (il y a une façon spéciale en fait).

C'est bon, je l'ai, et je fais suivre, impeccable, il y avait ce qu'il fallait dedans. Attends avant de tout virer, et ne fais pas de scan pour le moment. Est-ce que la machine se comporte normalement ?

Je t'envoie un message privé.

OK, pas de panique. Regarde dans c:\Qoobox\Quarantine\ tu dois avoir un fichier zip dont le nom commence par "[4]-Submit_2010-04" Localise-le stp, tu vas me l'envoyer (je te dirai comment) et je ferai suivre, à ce moment là. Le script a fait son boulot de toute façon et ta machine va mieux, mais il faut qu'on fasse avancer les détections, ces fichiers sont importants.

Relance combofix et ne fais rien d'autre que ce qui est écrit.

Bonjour apprenti69, crée ton propre topic stp. Et arrêtez - tous - d'utiliser combofix comme ça au pif sans supervision.

Utilise le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ : il n'y a pas eu d'envoi automatique car tu as coupé la connexion (ce n'était pourtant pas demandé...). Je regarde le rapport, ça m'a l'air bon tout ça.

Ce n'est pas vraiment le moment de tripatouiller ta carte graphique ou les pilotes de Windows, tu as plus urgent à faire, et ça met la pagaille dans les points de restauration système. Passe le script stp.

Bonjour, on voit la bestiole. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Il y a des petites choses à virer, mais rien de directement méchant, juste des résidus. Au passageon va alléger un peu le démarrage (un tout petit peu). Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\FyK.txt C:\FyK C:\autorun.inf D:\autorun.inf E:\autorun.inf F:\autorun.inf :reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{826a6861-2523-11de-9ab4-00140b388e69}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c6c4f9d-2e68-11df-af93-00140b388e69}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=- "QuickTime Task"=- "Adobe ARM"=- "toolbar_eula_launcher"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "swg"=- "ISUSPM"=- :Services HMFAxCore8ca4fd17866cac11805503e882557762 aduf6z29 :commands [zipfiles] [Start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. ---------------- Il y a eu des petits plantages côté disque dur. Vérifie aussi le disque dur (sans vérifier les secteurs défectueux, c'est trop long et ce n'est pas nécessaire pour le moment) : http://windows.microsoft.com/fr-FR/windows...disk-for-errors

C'est un tout petit scan rapide ça. Si tu veux un scan complet, fais comme ceci : http://www.libellules.ch/tuto_antivir.php#onglet_scanner Clique sur ce lien pour télécharger HijackThis 2.0.4 : http://go.trendmicro.com/free-tools/hijack.../HijackThis.exe Remplace ta version par celle là pour les prochains rapports HijackThis, la tienne est dépassée maintenant. Et poste un nouveau rapoprt HijackThis, avec cette nouvelle version stp. Tuto pour la nouvelle version (si besoin) : http://www.libellules.ch/poster_log_hijackthis.php

Microsoft Security Essentials est efficace, s'il te convient, garde-le. Je n'avais pas regardé côté 64, donc je n'avais pas vu les lignes, il est installé correctement, pas de problème. On va faire un dernier rapport, pour les recommandations destinées à sécuriser ta machine. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.4 : http://go.trendmicro.com/free-tools/hijack.../HijackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Prends cette version pour remplacer l'ancienne, tu as la 2.0.2 ! Double-clique sur l'icône HijackThis (si tu es sous Windows Vista ou Windows 7, démarre HijackThis par clic droit, exécuter en tant qu'administrateur) : HijackThis démarre, clique sur le bouton "Scan" et laisse-l'outil travailler un instant. Clique sur le bouton Save log et choisis de sauvegarder le fichier rapport (HijackThis.log) sur ton bureau. Copie-colle le contenu du fichier rapport (hijackthis.log) dans ta prochaine réponse.

Ta machine a une bestiole très coriace dernière génération. On va s'en occuper, ce sont des manips complexes, mais on l'aura. ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure, et envoyer des fichiers infectieux nouveaux au créateur de Combofix. Rend toi sur cette page afin de télécharger le fichier CFScript.txt sur le Bureau : http://senduit.com/610e29 Note 1 : Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Patiente quelques secondes : le téléchargement va se lancer automatiquement. Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture : Patiente le temps du scan. Le Bureau va disparaitre à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Quand Combofix finit de travailler, il affiche ceci : Cliquer sur OK va faire débuter l'envoi automatique du fichier zip, pour améliorer les futures détections. Une fois le scan achevé, le PC va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici : C:\ComboFix.txt Note 2 : un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras ce message : Il te suffira seulement de faire un double-clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de l'envoi.

Voilà le souci. Il y a certainement une bonne bestiole, et du genre bien coriace, en prime. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Question idiote, mais je dois la poser : as-tu lancé l'installateur avec droits admin (clic droit, exécuter en tant qu'administrateur) ? As-tu essayé de déplacer l'installateur dans un autre dossier, par exemple sur le bureau ? Si tu as un antivirus et/ou un hips (si tu ne sais pas, tu n'en as a priori pas), essaie de les désactiver. Idem pour un Firewall musclé (attention, réactive vite après).

L'installateur doit désinstaller l'ancienne version, il lance la commande au début du processus. Le plugin Flash se désinstalle via ajout/suppression de programmes, pour les deux versions. Les navigateurs doivent être fermés pour que l'opération se déroule correctement; Si toutefois la désinstallation échoue ou que Flash n'est plus listé dans ajout/suppression de programmes, vous pouvez chercher le désinstallateur manuellement : Le programme de désinstallation doit se trouver ici : C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Cette version désinstalle le plugin ActiveX pour Internet Explorer. C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Celle-ci désinstalle la version non-activeX pour les autres navigateurs. En cas d'absence, Adobe propose un désinstallateur à télécharger : http://download.macromedia.com/pub/Flashpl...lash_player.exe Source et plus : http://www.libellules.ch/faq_flash_plugin.php

Bonjour, tu dois avoir les droits administrateur pour installer, cela peut être une des raisons de l'échec. Le navigateur concerné doit être fermé pendant l'installation du plugin, aussi. Sinon, il y a plusieurs versions, une pour Internet Explorer, l'autre pour les autres navigateurs.

Vas-y.