Falkra

Ha, ben on y voit plus clair, et c'est plus propre ! Poste un nouveau rapport HijackThis stp, la machine se comporte normalement maintenant ?

Renomme le fichier en CFscript.txt exactement, et retente.

Le fichier que tu m'as envoyé est procmap.exe, pas finst.exe, tu es sûr que c'est celui-là qui indispose BitDefender ? Celui là en tout cas est classé positif, mais jamais chez les "bons" : https://www.virustotal.com/analisis/e9bade7...cd94-1267797753

Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/73eafe Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ok, poste un nouveau rapport RSIT stp, il n'en fera qu'un, c'est normal.

Pas maintenant, ça mettrait encore plus de bazar. Mets à jour MBAM et fais une recherche rapide, supprime et poste le rapport stp.

C'est logique, mais il fallait le vérifier. On s'en occupe maintenant, en deux passes. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

L'antivirus est mort, ça et d'autres choses, mais on a avancé d'un cran, par contre il y en a tellement, que ça prend toujours du temps. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/0c0c58 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\WINDOWS\system32\fjhdyfhsn.bat :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Showwnd"=- "NeroFilterCheck"=- "nwiz"=- :commands [Start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

As tu aussi décoché "masquer les fichiers du système d'exploitation" ?

C'est plus propre tout ça. Refais un raport Gmer stp, en cochant uniquement la case "processes" ça prendra quelques secondes.

Rien ? Parfait ça ! Pense à toujours faire une mise à jour avant de scanner, à l'avenir, même si aujourd'hui cela ne semble pas avoir changé grand chose. On fait le point avec un rapport plus gros, il y a quelques restes à corriger. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Ca attendra demain, pas de problème, dormir c'est normal et souhaitable. Pas de problème. Prends le temps qu'il faut, vois d'abord ta petite file, ça c'est unique.

Bonsoir, Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Ca ne servirait à rien. Si le 4 mars tu avais la base de données: 3510, tu as raté 300 mises à jour. Mets à jour MBAM, tu dois avoir la base de donnés 3825 minimum. Après la mise à jour, fais une recherche rapide, et supprime ce qui est trouvé, puis poste le rapport stp.

Si le premier mars tu avais la base de données: 3510, tu as raté 300 mises à jour. Mets à jour MBAM, tu dois avoir la base de donnés 3825 minimum. Après la mise à jour, fais une recherche rapide, et supprime ce qui est trouvé, puis poste le rapport stp.

Bonsoir, peux-tu poster le rapport de MBAM stp ? (tu le trouveras dans l'onglet log/rapports, c'est daté)

Laisse pour le moment. Je les ai tu peux supprimer le zip, mais ne touche pas au dossier Quarantine bien sûr. La manip va réinstaller les programmes avec tous les fichiers et scanner avec une base de données à jour. Tel que je t'ai décrit la procédure, tu n'effaces rien tu postes juste le rapport sans supprimer, mais même si tu le faisais, ça n'écraserait pas : ajout. Pose toutes les questions nécessaires.

Ca ne dépanne jamais rien, ça, dommage. SERIAL.CHO MASTER ressemble bien à un message de raid posté par le bios (pas à un problème), ça se désactive depuis un menu du bios, et terminé. Ben ne t'excuse pas, ce n'est pas grave, c'est juste dommage pour le PC de ton ami. Sur un nouveau PC, une carte mère neuve peut avoir du Raid aussi, à désactiver dans le bios...

C'est C:\masm65\finst.exe qu'il faut passer sur VirusTotal pour vérification, ou me le passer à moi (upload sur senduit.com, et passe moi le lien par messagerie privée). Je peux remonter l'info rapidement à BitDefender, si c'est un FP, via un accès rapide. Si tu autorises l'installation, ça n'exécute pas le fichier (ça ne le rend pas actif donc dangereux), ça ne fait que le copier sur le disque dur, le décompresser depuis l'installateur.

Après un redémarrage, est-ce que le centre de sécurité reconnaît tes logiciels de sécurité ?

J'ai refait les liens du post précédent, tu peux y aller.

Tu peux choisir Comodo, mais il y a 50 choses à désactiver (éviter la toolbar, ne pas donner son mail, désaciver leur antivirus, désactiver le HIPS, désactiver 50 trucs) que c'est très pénible. Essaie plutôt Zone Alarm 9.1 à ce moment là pour Windows 7 64bits, il est compatible (pas natif 64, mais tourne). Le site officiel renvoie à ce lien (pour ne pas confondre les versions je te poste ce lien-là : le site a tendance à orienter vers la version à payer): http://download.cnet.com/ZoneAlarm/3000-10...&tag=button Voici un tuto ZoneAlarm : http://www.pcastuces.com/pratique/securite...l2/firewall.htm

Si tu n'as pas MBAM en version complète, juste la version gratuite, je te propose un test facile. Sinon désactive le bouclier résident. Réinstalle les programmes. Mets à jour MBAM (important). Ferme MBAM (important). Relance MBAM par menu démarrer, exécuter (ou Win+R), et la commande suivante : mbam /developer (tu valides avec entrée) Et là tu fais une recherche rapide, sans corriger, et en postant le rapport. Si c'est un FP on pourra le remonter, avec ce rapport spécial FP.

Hou, c'est vilain tout ça, on a des choses à régler après. Peux-tu poster ça sur Virustotal stp ? (vérification de routine) C:\WINDOWS\system32\drivers\str.sys Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\drivers\str.sys Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

Bonsoir, VirusTotal ne reflète pas toujours l'état des détections, en raison de la configuration et des versions des antivirus en ligne. Il se peut que BitDefender ou un autre y voie une menace sans que cela figure. Je doute que le programme, sur le site officiel, soit infecté, et eSafe + Symantec et son Suspicious.Insight, ça sent le FP, en effet. Quel genre de fichier BD voit et reproche ?