[Résolu] Virus 3625100665.2254105895.exe qui fait redémarrer mon ordi

[Hige]

Bonjour

 

j'ai reussi une nouvelle fois a me choper une saleté qui m'empeche de demarrer ma session ou plutot qui la redemarre sans cesse (redemarrage du pc).

De ce que j'ai pu voir en mode normal,c'est un processus constitué d'une suite de chiffre comme dit ci dessus:

:3625100665.2254105895.exe

 

http://forum.hardware.fr/hfr/Windo [...] 4683_1.htm

http://forum.hardware.fr/hfr/Windo [...] 6158_1.htm

 

Par contre en mode sans echec,je peux rester sur ma session mais certains outils comme MBAM et l'antivirus microsoft ne demarre pas.("Windows ne parvient pas a acceder au pheripherique........°

 

J'ai essayé de dl des version d'essai de Kaspersky ou Norton mais peut etre le fait que je sois en sans echec empeche une installation parfaite (ou c'est due au virus).

 

Un scan online ne donne rien et le peu que j'ai pu voir,le log a planté avant la fin.

 

 

 

Edit:Bien sur,il m'est impossible de killer le processus que j'ai signalé en sans echec et en mode normal la seul fois ou j'ai eu la main avant reboot.

 

Edit2:Rien de nouveau sinon que ce processus ne tourne qu'en mode sans echec avec prise en charge reseau,en mode sans echec basique il n'est pas actif.

 

ROguekiller (que j'avais conservé)me le trouve bien mais il revient a chaque fois malgrés un coup de suppression.

Hijackthis se lance puis se ferme avant la fin dans le mode ss echec avec reseau mais RAS en ss echec basique.

 

Un fichier est present dans C/windows qui porte le nom de ce processus mais fait 0ko est revient a chaque demarrage,idem dans le registre.

 

J'ai mis le disque en externe pour une analyse avec Adaware,Mbam et Kaspersky mais rien a signaler(dans le pc d'origine,ces fonctions sont desactivé pour certaines).

Si je lance un demarrage normal,j'ai des fois un BSOD des l'apparition de la session avant reboot.

 

Pas question de formater n sur mais là je suis perdu et rien sur le net a ce sujet .

[pear]

Bonjour,

 

Essayez ceci:

 

Télécharger GMER

clic sur "Download EXE" et télécharger le fichier sur le bureau.

 

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.

Double-clic sur le fichier GMER téléchargé.

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :

Show All

Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"

Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

 

 

Lorsque le scan est terminé, clic sur "Copy"

 

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , es éléments détectés comme rootkit apparaissent en rougel dans chaque section.

Pour supprimer:

Clic droit et faire l'action voulue selon le type de la colonne de gauche.

Delete the service si c'est un service

Delete File pour le reste

Ouvrez le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistrer le fichier sur le bureau et copier/coller le contenu.

 

[/color]

[Hige]

Tout d'abord Merci de prendre le temps de me repondre;

 

je tente des que je suis rentré mais pour etre sur,dois je faire ce ci en mode sans echec normal(donc le virus inactif) apres avoir dl ce log ou en mode prise en charge reseau (virus actif dans ce mode ??

Car je ne peux booter normalement.

 

 

Merci.

[pear]

Tentez d'abord "ce processus ne tourne qu'en mode sans echec avec prise en charge reseau"

sinon autrement.

[Hige]

Alors:

 

Apres avoir lancé le log,celui ci plante comme decrit plus haut.

Je le relance alors en decochant donc device mais rebelotte,il plante de nouveau sauf qu'en voulant le relancer je n'ai aucune reaction(ou alors les fois suivante un message comme celui ci Windows ne parvient pas a acceder au pheripherique...)

 

Je re-dl le log (comme le nom change a chaque fois j'en prend plusieurs) et refais un essai en mode sans echec normal.

Tout se passe bien cette fois et au final 2 fichier du nom du virus sont trouvé (un dans la colonne ADS et l'autre en rouge dans Services).

Je procede donc a la supression.(j'ai mal lu le tuto et fais la copie apres )

 

Je retente en mode ss echec avec reseau mais de nouveau cela replante mais en plus,je ne peux reutiliser le log une fois utilisés comme s'ils avaient ete blacklistés(les 4 que je venais de dl).

 

Neanmoins,apres un autre reboot au demarrage de ma session,j'ai pu rester dessus sans BSOD ou reboot la fois suivante.

Le processus est toujours present mais son niveau d'occupation est retombé a 0 au lieu de 400(aleatoire).

 

 

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2011-09-23 00:31:35

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1001FALS-00J7B1 rev.05.00K05

Running: j0w8mu5y.exe; Driver: C:\DOCUME~1\ARCHAN~1\LOCALS~1\Temp\fwtcipog.sys

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC3 0x08 0x1B 0x94 ...

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 p:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0C 0x1B 0x32 0xC1 ...

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x90 0x23 0xFD 0x2E ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC3 0x08 0x1B 0x94 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 p:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0C 0x1B 0x32 0xC1 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x90 0x23 0xFD 0x2E ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC3 0x08 0x1B 0x94 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 p:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0C 0x1B 0x32 0xC1 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x90 0x23 0xFD 0x2E ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC3 0x08 0x1B 0x94 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 p:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0C 0x1B 0x32 0xC1 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x90 0x23 0xFD 0x2E ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xC3 0x08 0x1B 0x94 ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 p:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0C 0x1B 0x32 0xC1 ...

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x90 0x23 0xFD 0x2E ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\$NtUninstallKB38018$\2040861400 0 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\@ 2048 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\bckfg.tmp 840 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\cfg.ini 202 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\Desktop.ini 4608 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\keywords 0 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\kwrd.dll 208896 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\L 0 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\L\acordtse 456320 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\U 0 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\U\00000001.@ 2048 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\U\00000002.@ 209920 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\U\80000000.@ 2560 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2040861400\U\80000032.@ 71168 bytes

File C:\WINDOWS\$NtUninstallKB38018$\2816678359 0 bytes

 

---- EOF - GMER 1.0.15 ----

Modifié le 23 septembre 2011 par Hige

[pear]

Bonjour,

 

Pouvez vous lancer Rogue Killer ?

[Hige]

Bonjour,

 

oui je peux le lancer dans chaque mode et il me trouve 2 elments a chaque fois ;voici un des derniers rapports:

RogueKiller V5.3.4 [30/08/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/34)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Archangel [Droits d'admin]

Mode: Suppression -- Date : 23/09/2011 02:33:28

 

Processus malicieux: 2

[sUSP PATH] 3625100665:2254105895.exe -- c:\windows\3625100665:2254105895.exe -> KILLED [TermProc]

[RESIDUE] 3625100665:2254105895.exe -- c:\windows\3625100665:2254105895.exe -> KILLED [TermProc]

 

Entrees de registre: 0

 

Fichiers / Dossiers particuliers:

 

Fichier HOSTS:

 

 

Termine : << RKreport[12].txt >>

 

Il semblerait que j'ai de nouveau des rebbot lors de l'ouverture de ma session et du mode ss echec reseau (1ere fois )

[pear]

Donc, Rogue killer , bien qu'il le dise, ne le supprimerait pas.

 

On tente encore ceci:

Télécharger The Avenger par Swandog46 .

sur le Bureau ou clé bootable.

 

Cliquez Enregistrer

Cliquer sur Bureau ou la clé

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

Vérifiez que la case "Scan for rootkits" est bien décochée.( Elle est cochée par défaut).

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to Delete:

c:\windows\3625100665:2254105895.exe

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Dans cette fenêtre "Input Script here" , coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).

CliquerExecute

 

le système va redémarrer. (Si le script contient un/des "Drivers to Unload", The Avenger redémarrera une seconde fois.)

Pendant le re-démarrage, une fenêtre de commande de windows noire apparaitra brièvement sur votre bureau, c'est NORMAL.

Après le redémarrage, un fichier log s'ouvrira que vous retrouverez ici : C:\avenger.txt

Tout ce que vous aurez demandé de supprimer sera sauvegardé , compacté(zipped) et l'archive zip tranférée ici : C:\avenger\backup.zip.

[Hige]

Voici le resultat:

pourtant il est toujours present dans le gestionnaire de tache,drolement coriace

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

Error: could not open file "c:windows\3625100665:2254105895.exe"

Deletion of file "c:windows\3625100665:2254105895.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

r

[pear]

Bonjour,

 

Télécharger Process Explorer

 

Lancer Process Explorer

Rechercher un processus à 8 ou 10 chiffres aléatoires comme 32431864.exe

et un autre à 8 ou 10 lettres aléatoires comme AhGkYJyFIC.exe

Et les supprimer par Kill process

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection

, ("Malicious objects")

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

 

Télécharger combofix.exe de Subs

et sauvegardez le sur le bureau

 

 

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista,Seven peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

[/color]

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt