Falkra

Rien de spécial là dedans, peux-tu héberger le fichier qui te semble suspect ? En utilisant par exemple ce service d'upload (spécifie une durée de plusieurs jours) : http://www.senduit.com/ Je pourrais récupérer le fichier et le tester de manière plus approfondie.

Bonjour, JavaRa, petit programme gratuit et très efficace, va faire ça pour toi très vite. JavaRa se télécharge ici : http://raproducts.org/ (lien Download Windows Binary (.zip file) dans la section JavaRa). Et voici un tuto JavaRa pour installer le dernier Java (ça semble déjà fait chez toi, c'est l'update 18) et supprimer proprement les autres, très simplement.

C'est normal, les constructeurs comptent 1 Go = 1024 Mo et Windows compte 1 Go = 1000 Mo (ou l'inverse), bref on ne t'a pas volé tes gigaoctets, c'est une affaire de comptabilité, héritée des premiers disques durs. La partition de 78Mo doit être une mini partition de restauration ou un tatouage du constructeur pour reconnaître le PC : ne pas modifier/toucher.

Ca ne sert à rien dans le cas présent. Il ne faut pas tenter d'effacer les fichiers de cette manière, surtout pas, ça ne règlera rien, ce n'est pas comme ça qu'on supprime un malware actif. Si tu viens sur ce forum pour recevoir une aide spécialisée, il ne faut pas faire autre chose en même temps. Ne fais suivre ta machine que sur un seul forum, au passage, sinon les conseils vont se télescoper et cela posera des problèmes.

Tu trouveras ici l'emplacement des différents fichiers pour Outlook (on parle bien de Outlook tout court, qui fait partie d'Office, et pas Outlook Express, intégré à XP) : http://faq-outlook.fr/articles.php?article_id=297 Voici les articles pour sauvegarder le contenu d'Outlook : http://faq-outlook.fr/articles.php?cat_id=10

Oki. Tant que tu as accès, sauvegarde tes documents personnels, tes profils Firefox/Thunderbird si tu utilises ces programmes, les e-mails, les favoris, tes docs à toi, etc... il faut mettre tout ça à l'abri, si tu n'avais pas déjà fait des sauvegardes.

On dirait plus un problème du disque lui-même, la MFT c'est Master File Table, là où le disque écrit l'index des fichiers, où les trouver, si cette partie est trop endommagée, même après un chkdsk, le disque doit être impossible à récupérer, ou pas loin. Si tu préfères, je peux transférer ton sujet vers la section hardware du forum.

Bonjour, télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Là d'après ce que tu dis, on dirait que Windows ne voit pas le 2eme disque que tu as connecté.

Repère dans la colonne de gauche, ça indique les disques physiques, et horizontalement, les partitions associées à chaque disque, là comme ça tu dois pouvoir t'y retrouver dans les lettre a priori.

Bonjour, es-tu sûr que c'est Antivir qui fait ça ? Jusqu'ici j'ai en tête que c'est un bug de XP (antérieur à Antivir) qui fait ça, dans des cas spécifiques suivant le matériel. La désinstallation du canal est ok, ça remet les choses en place, Windows le réinstalle tout seul. Tu arrives à reproduire le problème ?

Si tu ne vois qu'une lettre pour le nouveau disque, c'est qu'il n'y a qu'une partition d'accessible. L'outil de Windows de gestion des disques peut t'aider à y voir plus clair (clic droit, puis "gérer" sur le poste de travail, puis gestion des disques). XP pro par contre je crois, de mémoire.

Si tu branches ton disque dur en escalve sur un autre PC, comme tu l'as fait avant (tu en parles au post 1) tu retrouveras tes fichiers et pourras en faire une sauvegarde. Je te suggère de nommer les partitions (dans le poste de travail, à côté des lettres de lecteur) comme ça tu ne pourras pas confondre.

Bonjour, là ça ne relève plus vraiment d'infection, mais de maintenance, si le disque et/ou les fichiers sont trop corrompus, le plus sage est sans doute de réinstaller Windows (Nardino l'a mentionné). Tu pourras toujorus récupérer tes fichiers personnels en mettant le disque en esclave. Autrement je crains que ça ne donne rien, et que les procédures soient bien longues, sans garantie.

On va regarder de plus près tout ça. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

C'est HijackThis ça, a priori. Il a cette icône ?

Ok, nous allons être très prudents, surtout sur un serveur en production. Selon les outils utilisés, il peut y avoir à redémarrer plusieurs fois, je dois prévenir. Je ne vois pas de trace du fichier XPOC94.exe dans le rapport, il ne semble pas actif. Si le fichier est encore dans c:\windows\temp on peut faire un test rien que sur lui, dans un premier temps. C:\WINDOWS\system32\sysdown.exe est sain en tout cas, et C:\WINDOWS\TEMP\JABFC7.EXE est à vérifier aussi, si ce n'est pas HijackThis renommé. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\temp\XPOC94.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement. Fais la même chose pour C:\WINDOWS\TEMP\JABFC7.EXE, si ce n'est pas HijackThis renommé. A toute.

Bonjour, ce PC est-il un serveur ? Est-il en production, pour une entreprise ? Je vois Windows 2003, et des dispositions particulières. Il faut que je sache à peu près où on est, souvent les (grandes et moyennes) entreprises ont des services de dépannage avec des sociétés dédiées, mais il y a aussi des gens avec un serveur dans le garage pour jouer en Lan ou autre, et ça ne sera pas traité de la même façon, il faut faire spécialement attention.

Bonjour, on va traiter tout ça. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Bonjour, le fichier cité est légitime, en tout cas.

OK et est-ce que ça revient après un redémarrage ?

Antivir ne voit rien car ce n'est pas une infection, mais un contact sur une IP, donc c'est normal, enfin logique, ce n'est pas le boulot d'antivir. Ce qu'il faut, c'est mettre à jour manuellement. Désactive la protection résidente un moment, et la protection d'IP, via le menu contextuel (clic droit) sur l'icône de MBAM, il faut attendre un peu, que l'icône soit grisée, et la coche de la protection IP ne doit plus apparaître, ça prend quelques secondes pour prendre ne charge ta demande, c'est normal. On peut ensuite transférer le fichier rules.ref, télécharge-le ici : http://senduit.com/adab7e Et pour XP place-le là en écrasant l'ancien fichier, et relance MBAM, avec les protections, pour voir : C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

Pour les 10 minutes, ce n'est rien de rare, pas de problème. Le fichier a été réparé, impeccable, et tous les paramètres sont passés correctement. Mets à jour MBAM, et vois si le message d'IP apparaît toujours, côté bestioles en tout cas, on a fait les réparations.

Voici un nouveau script, le premier semble avoir eu un problème. http://senduit.com/4561e2 La procédure est la même que précédemment.

IL ne faut pas télécharger le lien, mais cliquer dessus, aller sur la page et là tu as un lien clicable pour télécharger CFscript.txt Ferme Combofix.