Infection tenace root.mbr

Oui c'est bien moi qui me suis inscrit sous ce nom, mais au premier envoi j'ai eu un petit souci avec le pseudo de mon compte,peut-être un bug lié au rootkit. Depuis je refais la même chose à chaque post, par reflexe je présume^^. Mais tu as raison ça doit fonctionner maintenant, je vais utiliser mon compte.

Pour tdsskiller oui, j'ai tenté de le lancer en admin, en le renommant, et même en le lançant avec auto "load_tdsskiller". Il me semble bien l'avoir téléchargé depuis ce lien, mais je vais réessayer ça ne coûte rien.

Voici le rapport zhpdiag :

http://cjoint.com/?CCibbtybA7U

En attendant, je vais me reporter au tuto de yumi pour apprendre à créer un disque bootable. Merci beaucoup en tout cas

Morbak, j'ai voulu retélécharcharger tdss depuis ton lien mais malheureusement je tombe sur une page "error page 404". Apparemment, j'ai pas de chance avec tdsskiller.

Effectivement le lien est temporairement HS, désolé.

Pour le scan tu aurais du suivre la procédure de mon lien, ton rapport n'est pas complet
Désinstalle java qui n'est pas à jour
Met à jour firefox (si c'est bien la version 12 que tu as)
Désinstalle proprement AVG et McAfee en suivant ce sujet : https://morbak-home.forumgratuit.org/t370-desinstaller-son-antivirus
Désinstalle les anti-rootkits de Sophos et compagnie aussi pour faire un peu de ménage.
J'ai vu que tu as beaucoup de jeux et programmes, si ils sont crackés, je te conseille au moins d'analyser les crack, keygen, patch etc... sur www.virustotal.com pour être sûr qu'ils ne sont pas infectieux.

Ferme tout les programmes en cours d'utilisation
/!\ Attention, la corbeille sera vidée automatiquement /!\
Copie les lignes de ce fichier (CTRL+A puis CTRL+C) : http://cjoint.com/data3/3CikMRHmect_fix.txt
Double-clic sur l'icône ZHPFix sur le bureau.
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Clic sur la 2e icône en haut à gauche "coller le presse papier".
Les lignes apparaissent dans le cadre vide, clic sur GO pour lancer le nettoyage.
Valide la suppression et patiente jusqu’à l'apparition du rapport.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepte.
Si c'est le cas, le rapport apparaitra après redémarrage.
Héberge le rapport et poste le lien dans ta prochaine réponse.

Refais un scan avec RogueKiller pour voir si il trouve encore une infection et un rapport ZHPDiag en sélectionnant toutes les options :
Lancer ZHPDiag.exe (sous Vista ou 7, clic droit/exécuter en tant qu'admin)
Cliquer sur le tournevis (icône "options" à droite) et cliquer sur "tous"
Choisir l'option "Lancer le diagnostic" (1ère loupe en haut a gauche).
Sous Vista et Windows 7, zhpdiag se relancera, sélectionner à nouveau toutes les options et relancer le scan une seconde fois.
Pour ne pas ralentir l'analyse, évite de te servir du pc pendant le scan.
Sous XP¨il proposera d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
Sur Vista/7, Sigcheck sera installé automatiquement et un message confirmera l'installation.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Avec ZHPDiag, tu dois avoir une icone MBRCheck sur le bureau, lance ce programme
Sur Vista/7/8, clic droit/executer en tant qu'admin
Une fenêtre noire va s'ouvrir, patiente jusqu'a l'affichage de la ligne "Press Enter to Exit"
Appuyes sur Entrée pour fermer le programme, le rapport se trouvera sur le bureau (MBRCheck_date_et_heure.txt)
Heberge le rapport et poste le lien. Le rapport ZHPDiag fera deja cette analyse mais je prefère la faire séparément pour être sur qu'il n'y a pas de soucis.

Bonsoir Morbak,
Ah mince, si tu veux je refais un scan de zhp diag avec la bonne procédure. Je vais désinstaller tous les AV et anti-rootkits en suivant ce qui tu décris pas à pas et te fais tous les rapports nécessaires.
Sinon j'ai pu faire une clé bootable avec une YUMI (contenant UBCD aussi comme me conseillait Hornet) et même un CD avec deep burner grâce à ton tutoriel . Je suis donc prêt à faire ce que me décris Casper pour faire un Fixmbr.
Oui c'est vrai j'ai bien 2 programmes sur 5 que j'ai dû craquer (pour des raisons éducatives), je le confesse . Je n'aime pas ça et j'ai d'ailleurs sûrement dû récolter quelques spyware et autres trucs malveillants au passage. En revanche, quasiment tous mes jeux sont sur steam et aucun ne sont crackés .

Je ne juge pas hein, loin de là, ca ne concerne que toi, mais vu la quantité, je me suis dis que ca pourrait être le cas, et je prefère prevnir que guérir ^^

donc j'attends les rapports (si ton pc boot sur clé, le cd etait inutile, sauf si tu manque de place sur la clé)

Je suis d'accord , on le répète jamais assez, jusqu'au jour où ça nous tombe dessus. Je conçois qu'on puisse pirater uniquement dans la mesure où c'est dans un but éducatif, donc dans l'éventualité de l'acheter plus tard.
C'est bon, j'ai effacé toutes traces d'anti-rootkits, désinstallé java, AVG avec AVGRemover et McAfee avec son Removal tool .
Par contre, j'ai un dossier nommé "$AVG" (2ko seulement) dans System reserved (E:), et j'ose pas le supprimer, j'en fais quoi?
Sinon, j'ai mis à jour Firefox mais je ne l'utilise jamais , parce qu'il n'est pas compatible avec la plateforme de lecture des cours de mon école,malheureusement. Du coup, c'est le plus souvent IE.
J'ai pu faire la manipulation avec ZHPfix, et tout semble s'être bien déroulé. Voici le rapport:
http://cjoint.com/?CCjcECmgqH

J'ai refait un scan avec Roguekiller et il trouve toujours une infection. Je te mets son rapport:
http://cjoint.com/?CCjdDNZ89as
Voilà le rapport de ZHPdiag:
http://cjoint.com/?CCjdHFvm45N
Et enfin celui de MBRcheck:
http://cjoint.com/?CCjdJP4wzUM
J'apprécie beaucoup l'aide que vous pouvez m'apporter toi, Casper et Hornet, et je suis redevenu optimiste pour la santé de mon PC . Je te souhaite une bonne nuit Morbak.

PhysicalDrive0 MBR Code Faked!
La MBR a visiblement bien été modifiée, RogueKiller trouve 3 partitions et tout les autres outils n'en trouvent que 2. Ca peut vouloir dire que Roguekiller detecte le véritable MBRmais qu'un rootkit a créé un faux MBR qui est vu par les autres programmes. Combofix ne l'a peut-être pas eu quand tu l'as passé la première fois, on risque de le repasser (mais attends mes instructions)

L'analyse zhpdiag a créé un fichier nommé PhysicalDisk0_MBR.bin dans ton disque C. Envoie ce fichier sur www.virustotal.com
Si on te dis que le fichier à déjà été analysé, clic sur Réanalyze et donne moi le lien de la page d'analyse qui s'ouvrira.

Repasse voir un coup de TDSSKiller comme ceci (j'ai rectifié le lien):
Télécharge sur le bureau http://support.kaspersky.com/downloads/utils/tdsskiller.exe
Ferme les programmes en cours
Lance le programme (Sous Vista et Seven, clic droit/exécuter en tant qu'admin.)
Clique sur Change parameters, cocher toutes les cases.
Après avoir coché "Loaded modules" il te demandera de redémarrer
Clic sur Reboot now pour redémarrer le pc et relance TDSSKiller
Recoche toutes les cases dans les paramètres
Clique sur Start scan pour demarrer l'analyse
Laisse l'outil scanner le disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir, Vérifie que :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté s'assurer que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté s'assurer que Cure est bien cochée.
Si Suspicious file est indiqué, laisser l'option cochée sur Skip
Si Rootkit.Win32.ZAccess. est détecté règler sur cure en haut , et delete en bas
Clique sur Continue puis sur Reboot now pour redémarrer le PC si c'est proposé.
Héberge le rapport généré et colle le lien
Il est sauvegardé à la racine de la partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA = date du passage de l'outil, HH.MM.SS heure de passage).

Si tu as un soucis avec TDSSKiller qui ne veut toujours pas se lancer ou qu'il ne trouve rien même avec les options cochées :
/!\Attention :
cet outil peut être détecté à tort comme virus
cet outil est puissant suivre scrupuleusement les instructions ci-dessous

Tous les processus "non vitaux de windows" vont être coupés, enregistrer le travail en cours.
Le dossier Download du compte utilisateur peut contenir des fichiers infectieux et sera vidé, retirer les fichiers importants avant le scan (photos et videos privées par exemple).

Désactiver toutes les protections si possible , antivirus , sandbox , pare-feux , etc....

Télécharger et enregistrer Pre_Scan sur le bureau : http://www.security-helpzone.com/Tools/g3n/winlogon.exe
si le lien ne fonctionne pas : https://www.archive-host.com/files/1731274/ecd939269bcc7cdfed2d2e726c22709a32db3067/winlogon.exe
Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!

Si le programme ne se lance pas ou renvoie une erreur du genre "application win32 non valide", utilise une des versions suivantes :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

Avertissement : le bureau disparaitra pendant le scan, pas de panique.

une fois téléchargé lancer Pre_Scan, laisser faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois, il proposera un menu et si aucune option n'est demandée, lancer l'option "Kill"

Si l'outil détecte un proxy et que personne n'en a installé sur le pc, cliquer sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent, pas d’inquiétude, c'est Pre_Scan qui travaille.
Il est possible que l'outil fasse redémarrer le pc, laisser faire.

A la fin du scan, le rapport apparaitra sur le bureau, si ce n'est pas le cas, essayer de rafraichir le bureau (clic droit/actualiser) ou regarder à la racine du disque C.
Héberger le rapport sur www.cjoint.com et poster le lien sur le forum.

Si le bureau ne réapparaît pas après le scan, appuyer sur Ctrl+Alt+Suppr pour ouvrir le gestionnaire des tâches ---> onglet application ---> nouvelle tâche puis taper explorer et valider

Malheusement je vais pas pouvoir faire les manips que tu me décris dans le dernier post, je suis pas devant mon PC car je dois être sur Nice tous les week-end pour travailler. Je t'écris depuis le PC d'une réception d'hôtel^^.

Dès que je suis de retour chez moi lundi matin, je fais tout ça et te tiens au courant. Merci pour ta patience et le temps que tu me consacres. Passe une bonne fin de week-end

Pas de soucis, le sujet reste ouvert
Bon week-end a toi aussi.

Voilà l'analyse de PhysicalDisk0_MBR.bin par virustotal :

https://www.virustotal.com/fr/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1363062354/

Effectivement, tdsskiller ne se lance toujours pas. C'est le rootkit qui en est la cause?

Je suis donc passé à pre_scan, qui lui se lance parfaitement^^. Sauf que le scan à duré très longtemps ( 3 ou 4h environ), ne semblant rien trouver de particulier, jusqu'à ce qu'il tombe sur un fichier dans le disque E nommé : "E\Boot\zh.TW\bootmgr.exe.mui", qui paraît très suspect . Pre_scan a insisté sur le scan de ce fichier une dizaine de minutes, mais a fini par planter, un message avec une croix rouge m'indiquant "error allocating memory". J'ai quand même réessayé un peu plus tard, mais ça m'a donné le même résultat.

Du coup, le scan n'étant pas finalisé, aucun rapport ne s'est produit. D'où peut provenir ce problème "error allocating memory"?

Pour TDSS, oui il se peut que ce soit le rootkit qui l'empêche de fonctionner.

Pour Pre-Scan, le problème peut venir d'un manque de ram (ou de ram déféctueuses), soit d'un fichier pagefile plein. Ou alors ca vient du fait que tu n'as pas désactivé ton antivirus
Même si il n'a pas fini, il doit surement avoir fait quelque chose, regarde si tu n'as pas de rapport dans le disque C. Sinon,essaye de le relancer et si il te demande de choisir une option, clic sur Kill.

Un scan "classique dure 30 minutes" environ, 4h c'est assez enorme, tu as combien de disques connectés?
Si avec l'option Kill ca ne fonctionne pas, fait la partie FixMBR comme l'a expliqué casper (il me semble) sur la page précédente. Si tu as un soucis, utilise la clé bootable pour acceder a internet (il faudra cablé le pc, le wifi n'est pas pris en charge par le système portable).

Si pas de soucis avec fixmbr et fixboot, mais que ca ne marche pas ou que ca ne change rien, on repassera combofix.

Bonsoir Morbak,

Je n'ai qu'un disque connecté. Non, je n'ai rien dans le disque C, j'ai bien un dossier pre_scan mais pas de rapport à l'intérieur. Je vais réessayer Pre_scan en étant bien sûr cette fois-ci d'avoir désactivé Avira. Mais le probleme comme tu dis viens peut-être plutôt de ma memoire ram, puisque depuis que je suis infecté par le rootkit j'ai des plantages réguliers avec écran bleu. Probleme de "dump memory" (minidump?). J'ai lu aussi que le rootkit lui-meme pouvait provoquer ça, sur le lien que m'a fourni Hornet à ce sujet.

Si toutefois je n'arrive pas à lancer un scan complet de pre_scan, ok je fais un fixMBR avec ma clé prête, en espérant que ça marche .

j'en profite au passage pour dire que pre_scan est dispo sur 7pe si c'est ce que tu as mis sur ta clé donc possibilité de l'essayer sans que le disque dur soit sollicité, sans rootkit, ni processus infectieux, ni antivirus etc... rien qui ne peut le bloquer. Sinon y'a aussi DrWeb qui detecte les rookit et qui a une protection renforcée qui empêche les infections de le stopper.

j'ai plusieurs cordes a mon arc : combofix au cas ou il resterait des fichiers, ou que des services soient patchés, drweb qui nettoie pas trop mal la mbr, gmer, tdss si il se decide a passer apres le passage d'un des autres programmes ^^

Bon, alors j'ai refait un pre_scan sans Avira , même scénario et toujours aucun rapport pondu^^. Probleme de memoire...

J'ai tenté de faire un fixmbr, mais lorsque j'appuie sur Enter pour "réparer l'ordinateur" il y a inscrit en bas de l'écran "chargement de fichiers" et la barre reste bloquée désespérement à 0. Du coup, je ne peux pas lancer l'invite de commande.

Casper, j'ai lancé pre_scan sur la version portable de windows, mais c'est bizarre lorsque je double-clique sur sur son icône, le pc reboot automatiquement. Est-ce bien ça que tu me suggérais de faire?

Morbak, je suis prêt à essayer touts les solutions qu'il reste à tester , notamment Dr Web comme vous le suggérez Casper et toi.

Oui casper suggerait de lancer Pre_Scan a partir du cd.
Le pc a reboot immédiatement? pas d’exécution du programme avant?

Donc, on va voir selon le temps dont tu dispose, sachant que pendant l'execution des programmes, le pc ne doit pas être utilisé.

Avant toute chose, essaye ceci :
Télécharger RootRepeal via l'un des liens ci-dessous:
http://ad13.geekstogo.com/RootRepeal.zip
http://rootrepeal.googlepages.com/RootRepeal.zip
http://rootrepeal.psikotick.com/RootRepeal.zip
Enregistrer le fichier sur le Bureau.
Créer un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

Décompresser l'archive téléchargée dans ce nouveau dossier RootRepeal (ou place l'archive dans le disque C et fait un clic droit/extraire vers "rootrepeal...")

Désactive la protection résidente de ton antivirus. Si tu ne sais pas le faire, demande moi.

Ferme tous les programmes en cours (navigateur, messageries instantanées, tout ce qui peut être fermé).

Ouvre le dossier RootRepeal
Fais un clic droit sur RootRepeal.exe et executer en tant qu'admin.
Clique sur l'onglet "Report" (en bas à droite de la fenêtre)
Clique sur le bouton "Scan"
Dans la nouvelle fenêtre Select Scan, coche toutes les cases, donc :
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

Clique sur le bouton "OK" pour valider
Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\)
Clique sur le bouton OK pour lancer l'analyse
Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.
Lorsque l'analyse est terminée, le bouton "Save Report" sera disponible.
Clique sur ce bouton "Save Report" et enregistre le fichier rapport dans le dossier RootRepeal
Ouvre le menu File, cliquer sur Exit pour fermer le programme.
Heberge le rapport et poste le lien.

Ok, je vais réessayer de lancer pre_scan à partir de la clé. J'avais pas fait ça exactement .

J'ai toujours autant de problèmes au démarrage des outils. Pour RootRepeal en l'occurence, après avoir suivi la procédure je le lance mais pendant qu'une petite fenêtre "initializing..." s'ouvre, un message d'erreur apparaît une fraction de seconde plus tard: "attempt to write address : 0x01323000". Je clique sur ok, et trois rapport de crash sont créés. Je te les donne quand même. Le Rootkit en est encore responsable?

http://cjoint.com/?CCnuvZm9ds4
http://cjoint.com/?CCnuwBzuI5p
http://cjoint.com/?CCnuwY9EIGN

Erreur de lecture et d'ecriture, tu as bien executé en tant qu'admin (avec le clic droit)?
Question bête et qui arrive peut-êtr eun peu tard, mais je pense la réponse évidente : Tu es bien connecté avec un compte Administrateur?

Si la réponse est oui aux deux, désactive le contrôle des comptes, redémarre pour que la désactivation se fasse, et rééssaye.

J'ai essayé RootRepeal en mode sans echec mais il plante au démarrage dans ce cas aussi.

Lancer pre_scan à partir de la clé, ça veut dire que lorsque je fais F12 pour booter sur la clé je vais ensuite dans "directly bootable iso's" et je lance l'iso de pre_scan? Pardon, il y a peut-être un truc que je n'ai pas compris^^.

Décidément ton pc n'a pas envie d'etre désinfecté ^^

Pour Pre_Scan, tu demarre sur la clé en choisissant 7pe dans Directly bootable iso, une fois le bureau affiché, dans le menu démarrer, tu as Pre_Scan dans la liste des programmes. Mais laisse pour le moment, on va essayer autre chose.

Télécharge sur ton disque C : http://www2.gmer.net/mbr/mbr.exe
Important, le fichier doit être placé à la racine du disque système, c'est a dire sur la même page que les dossiers Windows, programmes etc...

Lance l'invite de commandes:
Démarrer ----> Recherche, tape cmd puis clic droit sur le résultat/executer en tant qu'admin

Dans la fenêtre noir qui s'ouvrira, tape :
cd \
et valide avec Entrée (note bien l'espace après les lettres cd)
Le curseur doit maintenant se trouver juste derrière C:\>
Si non, tape :
cd c:\
Valide avec Entrée

Une fois que c'est bon, tape :
mbr.exe -f
Valide avec Entrée (note bien l'espace après mbr.exe)
Attends que le curseur revienne sur une nouvelle ligne, juste derrière les caractères C:\>, tape exit puis valide avec Entrée.
Redémarre le PC.
Si ca a fonctionné, la MBR devrait être restaurée au redémarrage.
Si tu n'as pas de soucis, refais ensuite un scan avec RogueKiller pour voir si il affiche encore ce problème de Root.MBR.

Edit : je ne suis pas là demain matin, donc je te met en dessous, d'autres choses à faire, uniquement si tu as un soucis avec la partie mbr.exe ou si roguekiller continue de t'afficher l'infection

A faire au choix, selon le temps que tu reste devant le pc, sachant que ComboFix est plus rapide, mais plus risqué que Dr. Web (suis bien les procédures à la lettre):

1) Gmer version complète (quelques minutes en temps normal) :
Télécharge Gmer depuis la page http://www.gmer.net/#files en cliquant sur Download EXE. Ceci permet de télécharger le programme renommé de facon aléatoire pour tromper les rootkits qui peuvent reconnaitre le programme.

ATTENTION : Avant de lancer Gmer, désactives toutes les protections du pc (antivirus, antispywares, pare-feu).
Un pré-scan se fera au lancement, puis tu peux lancer le scan complet.

En effectuant un clic droit sur la fenêtre, il est possible de choisir le type de scan. Pour un scan rapide, choisis l'option "Only non MS files". Cela évite de lister les fichiers légitimes de microsoft mais détecte la quasi totalité des infections.

Le scan se fait à partir de l’onglet Rootkit. Coche "Files" et "Services" si ca n'est pas coché dans la colonne de droite, puis en cliquant sur le bouton Scan en bas.

Les informations sur le scan s’affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Sur ces lignes rouges:
- Services: Clique droit puis delete service
- Process: Clique droit puis kill process
- Adl, file: Clique droit puis delete files

Tuto : http://www.malekal.com/tutorial_GMER.php

Le bouton Copy permet de récupérer le rapport pour effectuer un copier/coller.
Le bouton Save permet l’enregistrement du rapport sur le disque au format texte.
Héberge le rapport et colle le lien sur le forum.


2) Dr Web (peut aller de 10 minutes à plusieurs heures selon le nombre de fichier à analyser):
Attention l'analyse suivant peut durer plusieurs heures.
Éviter au maximum de se servir du pc en dehors de la désinfection.

Déconnecter le PC infecté d'Internet et télécharger le programme à partir d'un pc sain.

Télécharger Dr Web CureIt et le placer sur le bureau du pc infecté :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double cliquer drweb-cureit.exe (sur Vista et Seven : clic droit/exécuter en tant qu'admin)
- Accepter le lancement en protection renforcée (pour empêcher qu'une infection le bloque), et la licence (ainsi que la participation aux statistiques)
- Cliquer sur l’icône de réglages en haut a droite et cocher la case "appliquer les actions automatiquement"
- Cliquer sur Sélectionner des objets pour l'analyse
- Sélectionner toutes les cases et cliquer sur "Lancer l'analyse" :
- Lorsque le scan sera terminé, cliquer sur "Neutraliser" pour nettoyer les infections.
- Après le nettoyage, cliquer sur "Ouvrir le rapport"
- Sauvegarder le rapport sur le bureau.
- Fermer Dr.Web Cureit
- Redémarrer l'ordinateur (important car certains fichiers ne peuvent être déplacés/réparés qu'au redémarrage).
- Après redémarrage, héberger le rapport sur http://www.cjoint.com et poster le lien.


3) ComboFix (prends entre 10 et 30 minutes selon le taux d'infection du pc):
/!\ Avertissement :
Ce logiciel n'est à utiliser que prescrit par une personne compétente.
Ne pas utiliser pour essayer ou si vous ne savez pas ce que vous faites : dangereux!

Télécharges ComboFix (de sUBs) à partir de ce lien et enregistres le (Important : renomme le Morbak AVANT qu'il soit enregistré) sur la clé, et place le sur le bureau du pc infecté, et pas ailleurs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit/"enregistrer la cible du lien sous")
Tutoriel avec images ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
- Lis bien toutes les consignes suivantes (plusieurs fois ci nécessaire), notamment la partie concernant les effets secondaires.
- Déconnectes toi d'internet et fermes les fenêtres de tous les programmes en cours.
- Désactives provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus (y compris la sandbox pour avast) et de tes Anti-spywares (ne pas oublier windows defender), et pare-feu (même celui de windows) qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

----------------------

/!\ Utilisateur de Vista et Seven :
Ne pas oublier de désactiver l’UAC (contrôle des comptes) juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

----------------------
- Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à ComboFix :

Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
Lance le
Une fenêtre apparait : clique sur "Disable"
Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
----------------------

Une fois fait, sur ton bureau double-clic sur Morbak.exe (ComboFix renommé).
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.

Si ComboFix ne démarre pas , ne le relances pas, préviens moi avant. Idem si il y a un message d'erreur lors de la procédure (notamment lors de la sauvegarde du registre).

Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RÉCUPÉRATION (permettra de réparer Windows en cas de problèmes)

/!\ Pendant l'utilisation de ComboFix, ne te sert pas du tout du pc (ni souris, ni clavier).
- Le scan de ComboFix compte au minimum 50 étapes, si tu dépasses ce chiffre c'est normal.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport ComboFix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix.txt
- Réactives la protection en temps réel de ton Antivirus et de tes Anti-spywares ainsi que l'UAC, avant de te reconnecter à internet.
- Héberges le rapport et donne le lien sur le forum.
- Après l'utilisation de ComboFix, si tu obtiens des messages d'erreurs (clé marquées pour suppression) ou un problème de connexion internet, redémarres le pc une ou deux fois pour corriger le problème.

Note : La corbeille et les fichiers temporaires seront automatiquement vidés, vérifies donc le contenu de la corbeille avant le scan

ATTENTION : ComboFix peut avoir des effets secondaires, surtout si les indications ne sont pas suivies à la lettres (les manipulations suivantes concernent Windows 7, elle sont similaires sur XP mais peuvent avoir quelques divergences) :

- Penses à noter tes paramètres réseaux (adresse ip, masque de sous réseau, passerelle, et DNS) avant de lancer ComboFix. Il pourrait supprimer les paramètres des connexions.
Pour voir les paramètres actuels, ouvre l'invite de commande (menu "démarrer"/exécuter, tapez cmd.exe) et utilise la commande ipconfig. Tu obtiendra ton adresse ip, le masque, et la passerelle, le DNS est identique à la passerelle, sauf modification de ta part.

- Si la connexion internet ne fonctionne plus même après un redémarrage :
clic droit sur ton icône "Réseau" dans la barre de tâches
clic sur "Résoudre les problèmes"

Si cela ne suffit pas :
ouvres le dossier : C:\Qoobox\Quarantine\Registry_backups
renommes tcpip.txt en tcpip.reg et ouvres le fichier qui ajoutera les données au registre

ou encore :
clic sur "Ouvrir le centre Réseau et partage"
à gauche, clic sur "Modifier les paramètres de la carte"
clic droit sur l’icône correspondant à la connexion, puis "propriétés"
sélectionnes "Protocole internet version 4 (TCP/ipv4), puis clic sur "propriétés"

Règles manuellement les paramètres IP, masque de sous réseau, passerelle par défaut et DNS comme ils étaient avant ComboFix.

Pour réinitialiser les paramètres de connexion on peut aussi procéder comme ceci : Ouvre le menu Démarrer, puis Exécuter, tape cmd.exe et valide (pour Vista et Seven, tape directement cmd.exe dans la recherche, et clic droit/"Exécuter en tant qu'administrateur" sur le résultat)

Dans le fenêtre qui va s'afficher tapes ceci.
ipconfig /flushdns
netsh winsock reset
netsh winhttp reset proxy
netsh winhttp reset tracing
netsh winsock reset catalog
netsh int ipv4 reset catalog
netsh int ipv6 reset catalog
Valide par la touche Entrée chaque commande, et redémarre le pc.

- Il se peut également que le menu démarrer soit vidé, pas d’inquiétude. Il existe plusieurs menu démarrer sur Windows, et ComboFix n'en videra qu'un seul, il suffit de copier le contenu d'un autre pour rétablir le menu Démarrer.
Le menu qui est affiché en cliquant sur le bouton Démarrer, se trouve dans ce dossier : C:\ProgramData\Microsoft\Windows\Start Menu\Programs
Si celui-ci venait a être vidé par Combofix, il est possible de copier le contenu d'un autre dossier : C:\Users\ton nom\Start Menu\ ou encore C:\Users\ton nom\AppData\Roaming\Microsoft\Windows\Start Menu\

Même s'il ne s'agit là que de raccourcis, pour plus de sécurité, tu peux copier les contenu de ces dossiers sur une clé usb avant de passer ComboFix ou simplement les copier sur le bureau. Il est possible, selon l'état du pc, que l'un de ces trois menus n'existe pas ou soit incomplet, le plus simple est donc de copier sur le bureau les différents menus existants et remplacer les dossiers vides après ComboFix.

- ComboFix changera également les paramètres des dossiers et rendra visibles tout les fichiers et dossiers cachés, il faudra donc rétablir les paramètres d'affichage des dossiers qui doivent être cachés.

- Pour finir, il se peut que sur une version non légale de Windows, Combofix rétablisse certains fichiers ou réglages rendant l'utilisation de Windows instable ou impossible. Nous ne pourront pas êtres tenus pour responsable si cela se produit.

Si tu as des questions, poses les AVANT d'utiliser ComboFix.

Hehe en tout cas c'est pas un tendre .

C'est bon je comprends mieux pour le lancement de pre_scan par 7pe. Ok, on le mets de côté.
J'ai fait la manip avec l'invite de commandes, mais elle a planté (pour changer:D) lorsque j'ai lancé la 2e ligne (mbr.exe -f) et la fenêtre c'est bloqué. En revanche après avoir entré "cd ", une ligne est apparue qui semble identifier le rootkit : MBR rootkit/Mebroot/Sinowa/tdl4 detector 0.4.2 gmer. Tu penses que c'est ça?

Je passe à la suite^^.

non cette ligne c'est juste pour dire que le programme qui utilisé est un detecteur de rootkit
Le fait que ca "bloque" c'est peut-être normal quelques minutes. N'oublie pas que la MBR est une partie vitale du disque dur et qu'e les programmes ne peuvent pas la modifier comme on modifie un fichier texte. Tout dépend du temps de blocage, je ne sais as combien de temps tu as attendu, mais moi j'aurais laissé faire au moins 10 minutes pour voir.

Au 1er essai j'ai dû attendre au moins 10 minutes oui. Mais le souci c'est qu'il y avait noté quelque chose comme "reading...failed", . Je vais quand même recommencer et patienter 15-20 minutes^^. Puis je lance gmer.

dans l'ordre moi je conseille gmer (qui est plus complet que mbr.exe et trouvera peut-être un pilote malicieux ou autre), drweb (avec protection renforcée) et ensuite si ca n'a rien changé, combofix (plus de contraintes pour combofix que pour les autres).

Sans oublier de désactiver antivirus, anti-spyware et pare feux pour gmer et combofix (avec en plus le controle des compte pour combofix)