Falkra

Tu n'aurais pas fait une restauration depuis un CD ou quelque chose dans le genre ? Il peut y avoir des fichiers en lecture seule dans le profil, comme prefs.js ? Tu es à la version 3.0.3 maintenant ?

@douds : Ne pas envoyer le rapport à Microsoft. els93, ton rapport ne motnre pas d'infection active. Ouvre le gestionnaire des tâches (CTRL+ALT+SUPPR) et ouvre l'onglet "processus" pour voir quel processus occupe le CPU à 100%, recopie le nom dans ta prochaine réponse stp.

Ok ok, ça veut dire qu'une barrette de ram (au moins) est lourdement corrompue, il faut la changer, sinon cela va corrompre aussi tes données, si ce n'est pas déjà fait. Si tu as deux barrettes, il faut tester (et refaire memtest) avec une seule, puis avec l'autre, pour voir si une seule des deux est à changer. C'est pénible, mais on a trouvé la source du problème.

Mets le CD sur une autre machine (windows étant déjà démarré), pour regarder les fichiers dedans (via le poste de travail). Si tu trouves un seul fichier ISO, le mode de gravure n'était pas le bon. Si tu trouves plusieurs fichiers/dossiers, ça va, de ce côté.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

On va renommer. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où placer le fichier. Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Bonjour, il me semblait que l'équipe sécu désinfectait. Si ce n'est pas viral, on le dira et on transfèrera le sujet.

Je n'étais pas là, tout simplement... Voici plusieurs tutos pour installer et utiliser Memtest et vérifier la ram. Il s'agit de créer un Cd bootable à partir d'une image (ISO) ou de créer une disquette de boot : http://www.depannetonpc.net/fiches-pratiqu...al-memtest.html http://www.vulgarisation-informatique.com/memtest.php http://www.libellules.ch/phpBB2/tester-la-...t86-t15091.html Si des erreurs apparaissent dans le tableau bleu, ça veut dire qu'il y a un problème. Il faut laisser tourner quelques passes. Attention chaque passe dure 20-30 minutes. Si ça ne donne rien, je te conseillerai une réinstallation sans pertes, mais il faut d'abord tester la ram : http://www.micro-astuce.com/depannage/reparation-windows-XP (attention à ne pas te tromper, on ne reformate pas hein, comme ça tu conserves tes données).

Il n'y a plus rien dans ce rapport, as-tu supprimé toi-même les lignes O4 de HijackThis pour alléger le démarrage ?

On va faire deux choses. D'abord ça : Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\scecli.dll Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php Poste le rapport obtenu. ------------------------------- Ensuite ça, télécharge une nouvelle version de combofix et écrase l'ancienne si encore là. Désactive McAfee (sans désinstaller hein) avant de l'utiliser. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Ce n'est pas grave de désactiver totalement la protection DEP. Le tout est de faire gaffe à ce qu'on tape dans le fichier boot.ini (fichier vital de windows) en le modifiant. NirCmd est légitime, si tes deux alertes sont à dessus, change de programme ou fais ignorer. Si c'est sur autre chose, dis moi quels fichiers sont incriminés.

Tu as Avast et Antivir ensemble (certes un des deux est désactivé mais ça ne suffit pas). Désinstalle avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Avast est bien en dessous d'antivir en terme de performances, et il ne faut qu'un antivirus à la fois. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\Program Files\dvd43\dvd43_tray.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Vérifie que ça part bien en simulant un nouveau rapport. Si ça ne part pas, on fera autrement (et ça partira). Antivir est ok. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il est bien plsu performant que Sypbot et Ad-aware, maintenant dépassés. Si tu désinstalles spybot, annule la vaccination avant, et désactive TeaTimer (qui de toute façon ne surveille pas grand chose). Si tu veux une protection antimalware résidente, il y a SpywareTerminator (lourd et gaffe à la toolbar ne surtout pas installer, ni ClamAV qui est proposé), ou Windows Defender (pas très bon mais honnête), AVG antispyware aussi. Dans une utilisation classique et sans risques, une protection temps réel pour un antispyware n'est pas forcément nécessaire. En fait MBAM commence son travail là où celui d'Antivir s'arrête. Il ne reste plus grand chose à faire. Dis moi ce que ça donne pour les lignes et les antispywares.

Ce rapport est anormalement court. Inquiétant si c'est sorti comme ça. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Bonsoir, Pear s'occupe déjà de ce sujet, merci de ne pas intervenir.

Re. Est-ce que ça affichait des erreurs, juste avant de coincer ? Si tu as plusieurs barrettes de mémoire, essaie de ne démarrer qu'avec une seule, puis avec l'autre. Attention en retirant les barrettes, c'est relativement fragile. Manipulations à faire PC éteint bien sûr.

MBAM fonctionne ne mode normal, pas besoin de mode sans échec. Si la machine a du mal, tu peux télécharger et installer les mises à jour sans connexion internet, depuis cette page : http://malwarebytes.gt500.org/database.jsp Aucune idée du temps que ça peut prendre, le cas est atypique.

Ca a retiré des saletés, c'est bien. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Huh, pas normal du tout. Fais un rapport RSIT stp.

Ca doit aller tout ça, poste un nouveau rapport HijackThis. Est-ce que tu as encore les symptômes infectieux du début ?

Tu peux utiliser Ccleaner, mais n'espère pas de miracles. Posteun dernier rapport Hijackthis stp, pour voir.

Voilà une partie du problèm,e la plupart des cracks sont infectés... Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

NirCmd est un programme légitime, là c'est Spyware Doctor qui fait du zèle et classe mal ses infos. Tu peux désactiver ou paraméter la protection DEP, vois ici par exemple : http://www.micro-astuce.com/optimisation/DEP Supprime les restes de Norton avec cet outil officiel, qui fera le travail. Il supprime tous les outisl Norton présents, attention si tu en as d'autres qui n'aparaissent pas dans le rapport.

Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, start update sur l'icône près de l'horloge). Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan". /!\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Report"). Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller.

Bien sûr, si ce n'est pas la ram (on le souhaite) on a encore plein de choses à essayer pour régler ça. @ demain