Falkra

Quel genre de problèmes ? Poste le rapport c:\combofix.txt stp, s'il est présent.

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : Un guide et un tutoriel sur l'utilisation de ComboFix

Tu as combien de disques durs dans la machine ?

As-tu un dual boot avec Linux ou autre OS ?

Je regarde ton fichier, merci pour ta contribution. Mets à jour MBAM et refais une analyse, la dernière base de données et plus récente : v4275.

Ca dit "Ce fichier n'est présentement pas disponible", je t'ai envoyé un message privé, utilise les infos données dedans.

Tu as sauvegardé tes documents, je l'espère (ou tu as déjà des sauvegardes). Si oui, clique sur oui et redémarre comme il le dit juste après qu'il a terminé. Après le redémarrage, vois si ça dit que c'est propre, ou unknown boot code. Si c'est propre (ligne en vert au lieu de marron sale), tu passes combofix via une copie fraîche, comme dit plus haut. @ toute

Yep, on le voit, envoie le ZIP en attendant stp.

On continue. Sauvegarde tous tes fichiers importants, la manip comporte une part de risque importante. Télécharge 001.bat ici : senduit | Share easily. Et démarre-le avec les droits administrateur (clic droit, exécuter en tant qu'administrateur, à la place du double clic habituel). Ca doit te marquer boot ok en vert si ça va. Si (et seulement si) ça se passe comme ça, fais la suite, que voici. Télécharge une nouvelle copie fraîche de combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : Un guide et un tutoriel sur l'utilisation de ComboFix

ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure. Rend toi sur cette page afin de télécharger le fichier CFScript.txt sur le Bureau : senduit | Share easily. Note 1 : Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Patiente quelques secondes : le téléchargement va se lancer automatiquement. Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture : Patiente le temps du scan. Le Bureau va disparaitre à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Quand Combofix finit de travailler, il affiche ceci : Cliquer sur OK va faire débuter l'envoi automatique du fichier zip, pour améliorer les futures détections. Une fois le scan achevé, le PC va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici : C:\ComboFix.txt Note 2 : un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras ce message : Il te suffira seulement de faire un double-clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de l'envoi.

Plutôt un programme à toi, pour la 3eme fois ta machine ne semble pas infectée. Il faudra faire le tri, désactiver un par un pour trouver le bon.

Localise un zip dans C:\_OTM\MovedFiles, et dis-moi combien il pèse, j'aimerais récupérer ces fichiers infectieux pour les envoyer aux éditeurs et améliorer les outils. On va nettoyer et terminer.

On va faire sans pour le moment. Dis moi un truc, comment sais-tu que la bestiole est toujours là ? Télécharge cet outil sur le bureau, et démarre-le avec droits administrateurs : http://www.esagelab.com/files/bootkit_remover.rar Poste ce que ça dit stp (ça ne fera pas d'opérations d'écriture).

Ca n'a aucune importance tant que tu ne suis que les conseils, tu ne risques rien. Oublie ZHPDiag, en l'occurrence. Tu as essayé ce que j'ai mis au post précédent ?

Le rapport est ok. Est-ce que les alertes persistent ?

Essaie un autre navigateur pour voir, sinon essaie temporairement la première méthode décrite ici, pour Firefox : Réparer Firefox - libellules.ch

Bonsoir, sais-tu utiliser la console de récupération Windows, l'as-tu déjà fait ? NB : ne suis aucun conseil donnée par MP ou ailleurs que ce que je poste dans ce sujet.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages tu as l'adresse du site en question stp ? J'ai l'impression que tu suis les consignes d'un forum qui traite une autre machine. Nous traitons les machines sur-mesure, il ne faut surtout pas utiliser les conseils destinés à d'autres machines, c'est dangereux pour ton OS. Il est très dangereux d'utiliser combofix sans supervision et la preuve, ça n'a rien fait d'utile pour ta machine : le problème persiste. @ toute.

Désactive Antivir pour que le nettoyage puisse se faire. Il se réactivera au redémarrage. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\windows\Uqydea.exe C:\Users\admin\AppData\Local\Temp\Uxd.exe C:\Windows\System32\explorer\explorer.exe :reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "HKCU"=- "EWABQAF7KL"=- :commands [zipfiles] [emptytemp] [start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

OK, désactive (temporairement) AVG pour voir, notamment les modules touchant à internet. Essaie aussi de télécharger sans gestionnaire de téléchargement (download manager). Tu as changé les réglages Windows (MTU, RWIN, TTL, etc... les paramètres de base de registre pour "optimiser" la connexion) ?

On n'a pas fini. Poste un nouveau rapport HijackThis stp.

Bonjour, on ne voit aucun virus actif. Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher les manips, et l'outil n'est pas d'une grande utilité. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . ----- Essaie de désactiver la vaccination de Spybot. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot. Vois si cela améliore les choses côté bande passante.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages il y en a partout, on va s'occuper de ça. Ce "patch", tu l'as encore sous la main ? Désactive Antivir, le temps de faire quelques manips, sinon ça va bipper sans arrêt et bloquer le nettoyage. Pour désactiver, fais un clic droit sur l'icône antivir près de l'horloge et décoche activer guard, le parapluie se ferme. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Si tu ne veux pas de McAfee, commence par le virer : s'il est en évaluation, tu n'as pas payé pour l'avoir et le retirer ne te fait pas perdre d'argent.

Hop, pris en charge.