Florinator

Ok, ce sera pas si galère que ça, cela doit emaner d'un émulateur, la zone d'amorce est reconnue comme saine. Va sur "Démarrer"/"Tous les programmes"/"Accessoires" Clique droit sur "Invite de commande" puis "Exécuter en administrateur" Une fenêtre sur fond noir s'ouvre, tape exactement: sfc /scannow Laisse le faire, si il trouve des erreures il les réparera. Vérifies si les problèmes persistent toujours ou pas. A++

Bonne continuation à toi. Voilà une aide pour la mise en Résolu http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html A++

Bonjour, Oui il est possible, mais je ne pense pas que cette pub soit génante et cela me semblerai peu correct de te guider à faire cela, qui plus c'est peut être le prix de la gratuité? Elle apparait une seule fois à la mise à jour... Cependant tape dans Google ta question et tu y trouveras surment des solutions. Edites ton 1er post et ajoute au titre [Résolu] A++

Bonjour, Pas de problèmes Tonton57. Je soupçonne un infection au niveau de la zone d'amorce, et là c'est trés délicat. Pour commencer sauvegarde ce fichier sur une clé ou autre, ailleurs que sur ton disque dur: C:\tools\ZHPDiag\MBRDump_10-25-10_07-50-33_PhysicalDrive0.bin Fais nottament une sauvegarde externe de tes données les plus importantes, le traitement de ce genre d'infection n'est vraiment pas sans risques.On va donc y aller doucement A la fin de scan de ZHPDiag, tu as cette icône qui apparait Clique dessus et poste moi le rapport qui s'affiche à l'ecran stp (rapport MBRCheck complet) Qu'est ce que tu utilises comme logiciel de gravure DVD? A++

Bonsoir, Tonton57 Prends soin de lire le fonctionnement de la section stp : - Pourquoi est-ce que tout le monde ne peut pas répondre et aider ? Pour le -1, je ne sais pas, mais Antivir est un antivirus et Spybot SD est un antispyware. Cela veut simplement dire que si l'utilisateur possède déjà un antivirus tu lui en fait installer un 2ème, ce qui engendrera des complications dans leurs fonctionnements pouvant perturber le système. De plus si on lit le sujet initial de l'utilisateur, il possède déjà Avira Antivir. Ks_Croc, Peux tu me faire ce scan stp: Télécharge ZHPDiag crée par Nicolas Coolman Enregistre le sur ton bureau Double clique sur l'icône Suis les instructions à l'ecran Clique sur pour lancer l'analyse Clique sur pour copier le rapport Puis colle le dans ta prochaine réponses Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPDiag.txt Je pense que l'infecteur étant encore présent, les fichiers systèmes se réinfectent, on va le trouver avant de remplacer les fichiers infectés. A++

Bonsoir Bluemax, Un rogue bien tenace...mais qui se supprime assez bien. Redemarre en Mode Sans Echec Appuie sur F5 ou F8 au demarrage du pc Choisi "démarrer en Mode Sans Echec" Télécharge MBAM Installe le Lance l'outil Coche "Executer un examen complet" Si tu es en présence d'une infection à la fin de l'examen clique sur "ok" Clique sur Supprimer la sélection Pour poster le rapport clique sur l'onglet Rapports/Log et Sélectionne celui t'intéresse et clique sur Ouvrir Fait copier coller et poste le rapport stp A++

Tu peux maintenant recacher les fichiers systèmes et cacher les extensions de fichiers. Fais ceci pour finir de sécuriser ta machine: Clique droit sur l'icône ZHPFix Sélectionne 'Exécuter en tant qu'administrateur' ou double clique dessus sur XP Clique sur le A rouge. Clique sur Nettoyer. Fais redémarrer l'ordi pour terminer le nettoyage. Il te faut supprimer tes points de restauration infectés, et recréer un point sain. Va sur "Démarrer" puis clique droit sur "Poste de travail" Va ensuite sur "Propriété", et sur l'onglet "Restauration Système" Coche"Désactiver La Restauration..." puis fais Appliquer Décoche cette même case, et refais "Appliquer" Penses à bien garder ton système à jour, pour cela tu peux utiliser Sécunia PSI On va essayer d'optimiser le démarrage de ton pc, ce qui va suivre ne va supprimer aucuns programmes ou fichiers, mais juste désactiver leur activation inutile au démarrage: Relance HijackThis et clique sur "Do a system scan only" Coche ces cases: O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE => Realtek®Avance Logic Sound O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') Clique ensuite sur Fix "checked", puis redémarre la machine. Dis moi si tu as de l'amélioration et si tu as des questions. A++

Bonjour, Ok, ça à l'air pas mal là, comment se comporte la machine? Mets à jour Mbam et refais moi un passage stp et poste moi le rapport. A++

J'aimerai que tu me fasses cette vérification stp: Télécharge GMer Clique sur "Download EXE" Sauvegarde-le sur ton Bureau (le nom est aléatoire) NB:Sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. Fais un clique droit dessus ((le nom comporte 8 chiffres/lettres aléatoires) et "Exécuter en tant qu'administrateur" Déconnecte toi d'Internet puis ferme tous les programmes. NB:Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan , clique "NO" Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante IAT/EAT Assure-toi que "Show All" est décoché Clique sur "Scan" et patiente (cela peut prendre 10 minutes ou +) Une fois fini, clique sur le bouton "Save..." (au bas à droite) ; Nomme le fichier "Florinator" et sauvegarde-le sur le Bureau ; Copie/colle le contenu de ce rapport dans ta réponse. A++

Bonsoir, Des nouvelles choses s'installent on dirait, on va déjà supprimer ce qui est visible: Copie ces lignes ci dessous: [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified O4 - HKUS\S-1-5-18\..\Run: [Microsoft Secure Messenger.NET Service] securitychk.exe O4 - HKUS\S-1-5-18\..\Run: [Auto updat] crsrs.exe O4 - HKUS\S-1-5-18\..\Run: [Microsoft Secure Messenger.NET Service] securitychk.exe O4 - HKUS\S-1-5-18\..\Run: [Auto updat] crsrs.exe O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\winampa.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\System32\winampa.exe O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\securitychk.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\System32\securitychk.exe O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\svchosting.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\System32\svchosting.exe O51 - MPSK:{6c0cff38-a1de-11dc-ac01-000ae458f1f8}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\bittorrent.exe O58 - SDL:[MD5.51A6510094266C0A7CE6B25F7FDB4162] - 23/04/2005 - 06:54:10 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\30F8A0890A.sys O58 - SDL:[MD5.814997B140DEF134613E11E456B8D03F] - 24/09/2007 - 08:49:22 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\DA2645F7EB.sys O64 - Services: CurCS - (.not file.) - Auto updat (crcss.exe) .(.Pas de propriétaire - Pas de description.) - LEGACY_CRCSS.EXE O64 - Services: CurCS - C:\DOCUME~1\Chantal\LOCALS~1\Temp\iMSPCLOj.sys (.not file.) - iMSPCLOj (iMSPCLOj) .(.Pas de propriétaire - Pas de description.) - LEGACY_IMSPCLOJ Ouvre ZHPDiag, puis clique sur l'icône Si l'icône n'apparait pas, relance un scan avec ZHPDiag, à la fin du scan elle apparaitra Clique successivement sur l'icône ,pour effacer le rapport qui s'est affiché Clique ensuite sur pour coller la sélection Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre Clique sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Clique sur "Tous" puis sur "Nettoyer". Si on te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement. Copie/colle le rapport dans ton prochain post. Remarque:Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPFixReport.txt Je ne pense malheureusement pas que cela suffise pour tout traiter, on va voir ça. A++

Bonsoir JC, On va supprimer ce qui gène, fais ce qui suit dans l'ordre demandé et n'hesites pas à me demander si tu ne comprends pas quelque chose: Redemarre en Mode Sans Echec Appuie sur F5 ou F8 au demarrage du pc Choisi "Démarrer en Mode Sans Echec" Pas de démarrage avec prise en charge réseaux Affiche les dossiers cachés: Va sur démarrer / poste de travail / outil / option des dossiers / puis affichage Et coche "Afficher les dossiers cachés" Puis décoche "Masquer les extensions de fichiers" ainsi que "Masquer les fichier protégés du système" Ensuite fais appliquer et ok Relance HijackThis, et coche les lignes suivantes: O4 - HKUS\.DEFAULT\..\RunOnce: [Auto updat] crsrs.exe (User 'Default user') O4 - HKUS\S-1-5-18\..\RunOnce: [Auto updat] crsrs.exe (User 'SYSTEM') Clique sur "Fix Checked", puis redémarre la machine en mode normal Recherche et supprime ce fichier si tu le trouve: C:\WINDOWS\System32\crsrs.exe Vide ta corbeille Télécharge ZHPDiag crée par Nicolas Coolman Enregistre le sur ton bureau Double clique sur l'icône Suis les instructions à l'ecran Clique sur pour lancer l'analyse Clique sur pour copier le rapport Puis colle le dans ta prochaine réponses Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPDiag.txt A++

Normallement avec la dernière manoeuvre de ZHPFix que je t'ai décrit ci dessus, ça va te désinstaller tout les outils que nous avons utilisé. Pour mettre résolu, va sur ton tout 1er post, fais éditer, puis "Utiliser l'editeur complet", à côté du titre tu ajoutes [Résolu] La sécurité informatique et l'utilisation de forums n'est pas une chose inée, on est là pour t'aiguiller Bonne continuation à toi. A++

Bonjour Cogul, Et merci pour cette contribution. On va maintenant finir de sécuriser ton pc: Copie ces lignes ci dessous: [HKCU\Software\opsmr9ibkfl] Ouvre ZHPDiag, puis clique sur l'icône Si l'icône n'apparait pas, relance un scan avec ZHPDiag, à la fin du scan elle apparaitra Clique successivement sur l'icône ,pour effacer le rapport qui s'est affiché Clique ensuite sur pour coller la sélection Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre Clique sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Clique sur "Tous" puis sur "Nettoyer". Si on te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement. Clique droit sur l'icône ZHPFix Sélectionne 'Exécuter en tant qu'administrateur' ou double clique dessus sur XP Clique sur le A rouge. Clique sur Nettoyer. Fais redémarrer l'ordi pour terminer le nettoyage. Il te faut supprimer tes points de restauration infectés, et recréer un point sain. Va sur "Démarrer" puis clique droit sur "Poste de travail" Va ensuite sur "Propriété", et sur l'onglet "Restauration Système" Coche"Désactiver La Restauration..." puis fais Appliquer Décoche cette même case, et refais "Appliquer" Tu peux garder Mbam pour scanner ta machine de temps à autre, maintiens le bien à jour, sa force est là. Penses à bien garder ton système à jour, pour cela tu peux utiliser Sécunia PSI Si tu as des questions, n'hesites pas à les poser. Si tout est ok pour toi, modifies ton 1er post (Editeur complet) et ajoutes au titre [Résolu] A++

Bonsoir, Aprés le scan de ZHPDiag, avec la version que je t'ai fait téléchargé tu obtiens ceci: Tu clique sur l'icône , tu as un rapport qui apparait, poste moi ce rapport. En gros ZHP a intégré dans sa base de donné MBRCheck, et il me faut ce rapport. Pour l'envoi par MP, c'est simplement que le nombre de téléchargement du lien que tu vas me fournir est limité, pour éviter que les petits curieux prennent tout le nombre de téléchargement, c'est mieux par MP. Ce fichier contient l'ecriture d'amorce de ton disque dur, rien de confidentiel, mais particulier, je récupère cette sauvegarde pour ensuite la faire remonter aux éditeurs d'outils pour faciliter nos recherches et éviter d'avoir ce genres de messages 18 GB \\.\PhysicalDrive1 Unknown MBR code A++

Quand tu fais "Modfier" il te faut cliquer ensuite sur "Utiliser l'éditeur complet" En haut tu verras, tu pourras modifier le titre du sujet. A++

Tu vas simplement sur ton 1er post et tu fais "modifier". Le titre devient alors modifiable et tu ajoutes [Résolu] juste à côté. Bonne continuation à toi A++

Bonjour, Clique droit sur l'icône ZHPFix Sélectionne 'Exécuter en tant qu'administrateur' ou double clique dessus sur XP Clique sur le A rouge. Clique sur Nettoyer. Fais redémarrer l'ordi pour terminer le nettoyage. Il te faut supprimer tes points de restauration infectés, et recréer un point sain. Va sur "Démarrer" puis clique droit sur "Poste de travail" Va ensuite sur "Propriété", et sur l'onglet "Restauration Système" Coche"Désactiver La Restauration..." puis fais Appliquer Décoche cette même case, et refais "Appliquer" Penses à bien garder ton système à jour, pour cela tu peux utiliser Sécunia PSI Vide la quarantaine de Mbam, garde le et maintiens le à jour. Pour ces problèmes cela résulte je pense plus à un problème logiciel, pour le lecteur disquette débranche le simplement, tu ne dois pas l'utiliser tout les jours.Je ne vais malheureusement rien pouvoir te dire de plus. Modifies le sujet initial pour ajouter au titre [Résolu] A++

Bonjour Nicolas, Je pense que cela doit être lié à la mémoire du pc, sois une insuffisance soit une barette defectueuse, regarde déjà de ce côté là http://www.libellules.ch/phpBB2/tester-la-ram-avec-memtest86-t15091.html. Pour ta protection garde un antivirus régulièrement mis à jour, il faut connaître son antivirus, connaître ses limites pour cela google t'aidera fortement. Programme des scans réguliers de ta machine, la moindre trouvaille doit alors t'alerter. En parallèle de cela garde Mbam, sa base de donnée est mis à jour trés souvent, donc important pour toi de faire ces mises à jours, scanne ta machine régulièrement avec. Maintient ton système à jour, la plus part des grosses infections utilisent des failles qui sont déjà corrigé par les fabricants. A++

Bonjour cogul, Clique sur cette icône (si l'icône n'apparait pas refais le scan de ZHPDiag, elle apparaitrat en fin de scan. Un rapport s'affiche, poste le moi stp à la suite du sujet. Rends toi ensuite sur RapidShare AG, Cham, Switzerland Clique en haut à droite sur "Upload Files here" Selectionne et charge ce fichier stp: C:\Program Files\ZHPDiag\MBRDump_10-19-10_22-57-49_PhysicalDrive0.bin Une fois chargé, tu obtiendras une adresse en face de "Download Link", poste la moi par MP seulement stp. A++

Bonsoir cogul, C'est effectivement bon signe et on va le vérifier: Télécharge ZHPDiag crée par Nicolas Coolman Enregistre le sur ton bureau Double clique sur l'icône Suis les instructions à l'ecran Clique sur pour lancer l'analyse Clique sur pour copier le rapport Puis colle le dans ta prochaine réponses Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPDiag.txt A++

C'est parfait comme cela, as tu d'autres problèmes en particulier? A++

Voici un aperçu du fonctionnement de Sinowal Modifies tout tes mots de passe, et surveilles tes comptes si tu y es aller de ce poste, on va finir de sécuriser certaines choses: Clique droit sur l'icône ZHPFix Sélectionne 'Exécuter en tant qu'administrateur' ou double clique dessus sur XP Clique sur le A rouge. Clique sur Nettoyer. Fais redémarrer l'ordi pour terminer le nettoyage. Il te faut supprimer tes points de restauration infectés, et recréer un point sain. Va sur "Démarrer" puis clique droit sur "Poste de travail" Va ensuite sur "Propriété", et sur l'onglet "Restauration Système" Coche"Désactiver La Restauration..." puis fais Appliquer Décoche cette même case, et refais "Appliquer" Penses à bien garder ton système à jour, pour cela tu peux utiliser Sécunia PSI Le reste est propre.Que dis Avast!? Si tu as la moindre question n'hesites pas à le demander, et promets moi de ne pas utiliser ComboFix à l'aveuglette ou de le faire utiliser.Modifies ton 1er post, et ajoutes [Résolu] au titre si tout est ok pour toi. A++

Parfait, peux tu refaire une passe avec ComboFix stp, et poste moi le rapport. Comment se comporte la machine? Je pars au boulot, je repasserai que ce soir. A++

Ok on continu. Copie ces lignes ci dessous: ServiceStop:TermService R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 O23 - Service: Services Terminal Server (TermService) . (.Pas de propriétaire - Pas de description.) - (.not file.) [HKLM\Software\Hdjvumkq] O43 - CFD:Common File Directory ----D- C:\Program Files\atxocx O58 - SDL:[MD5.A3811E0B0F045C56DC17A3CAA9D476E5] - 14/04/2008 - 03:34:23 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\acleditr.sys O64 - Services: CurCS - (.not file.) - ygovijew (ygovijew) .(.Pas de propriétaire - Pas de description.) - LEGACY_YGOVIJEW O64 - Services: CurCS - (.not file.) - {D0D763A2-3563-4104-B011B3087E578474} ({D0D763A2-3563-4104-B011B3087E578474}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{D0D763A2-3563-4104-B011B3087E578474} O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe SS - | Demand 17/07/2010 0 | C:\WINDOWS\TEMP\194.tmp ({314E64CB-5126-4608-B949C9589A841525}) . (.Pas de propriétaire.) - C:\WINDOWS\TEMP\194.tmp Ouvre ZHPDiag, puis clique sur l'icône Si l'icône n'apparait pas, relance un scan avec ZHPDiag, à la fin du scan elle apparaitra Clique successivement sur l'icône ,pour effacer le rapport qui s'est affiché Clique ensuite sur pour coller la sélection Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre Clique sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Clique sur "Tous" puis sur "Nettoyer". Si on te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement. Copie/colle le rapport dans ton prochain post. Remarque:Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPFixReport.txt A++

Bonjour Nicolas, Est ce qu'il y a du mieux? Ok, parfait fais ceci stp: Télécharge ZHPDiag crée par Nicolas Coolman Enregistre le sur ton bureau Double clique sur l'icône Suis les instructions à l'ecran Clique sur pour lancer l'analyse Clique sur pour copier le rapport Puis colle le dans ta prochaine réponses Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPDiag.txt PS:Lorsque tu réponds, supprime au préalable le message précédent affiché à l'ecran, cela surcharge les post inutilement, merci. A++