A voir également:
- Trojan Win32/Mebroot.mbr
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Hacktool win32 - Forum Virus
- Puabundler win32 - Forum Virus
- Hacktool win32 autokms ✓ - Forum Virus
- Trojan al11 ✓ - Forum Virus
52 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 mai 2010 à 22:48
3 mai 2010 à 22:48
Bonsoir,
la dénomination de nod32 signifie plutot que c'est un rootkit de boot.
Il a infecté le secteur d'amorçage du PC.
* Télécharge mbr.exe sur le Bureau
http://www2.gmer.net/mbr/mbr.exe
Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...),
* Double-clique sur mbr.exe et édite le rapport mbr.log généré.
A+
la dénomination de nod32 signifie plutot que c'est un rootkit de boot.
Il a infecté le secteur d'amorçage du PC.
* Télécharge mbr.exe sur le Bureau
http://www2.gmer.net/mbr/mbr.exe
Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...),
* Double-clique sur mbr.exe et édite le rapport mbr.log généré.
A+
Merci bien de s'occuper de "mon cas" ;)
Voici le rapport demandé.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
Voici le rapport demandé.
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
Modifié par verni29 le 3/05/2010 à 22:56
Modifié par verni29 le 3/05/2010 à 22:56
Tarsk,
démarrer --> Exécuter --> tape cmd et copie/colle le texte suivant :
Pour coller le texte dans la fenêtre MS-Dos, click droit et choisis coller.
Un rapport mbr.log est généré. Edite-le.
A+
Allez jusqu'au bout de la procédure de désinfection.
démarrer --> Exécuter --> tape cmd et copie/colle le texte suivant :
"%userprofile%\Bureau\mbr" -f
Pour coller le texte dans la fenêtre MS-Dos, click droit et choisis coller.
Un rapport mbr.log est généré. Edite-le.
A+
Allez jusqu'au bout de la procédure de désinfection.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 mai 2010 à 23:07
3 mai 2010 à 23:07
Tarsk,
C'est le même fichier que la première fois mais qui a été réécrit.
Il doit se trouver sur le bureau.
A+
C'est le même fichier que la première fois mais qui a été réécrit.
Il doit se trouver sur le bureau.
A+
Toujours le même rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 mai 2010 à 23:16
3 mai 2010 à 23:16
OK,
Bon, cela ne va pas être si simple.
Il y a actuellement beaucoup d'infections avec des rootkits et parfois ils sont couplés avec des infections plus complexes.
Supprime le fichier mbr.log sur ton bureau
Relance mbr.exe et poste le rapport mbr.log.
On avisera ensuite.
A+
Bon, cela ne va pas être si simple.
Il y a actuellement beaucoup d'infections avec des rootkits et parfois ils sont couplés avec des infections plus complexes.
Supprime le fichier mbr.log sur ton bureau
Relance mbr.exe et poste le rapport mbr.log.
On avisera ensuite.
A+
Saleté de virus... :/
J'ai refait la procédure, voici le rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
J'ai refait la procédure, voici le rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01749DDC1
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 mai 2010 à 23:33
3 mai 2010 à 23:33
Bon,
On va creuser mais j'ai un doute sur le rapport de mbr.
Il me semble que lors de ce type d'infection, ce rootkit, lorsqu'il s'est installé la première fois, a installé une copie dans un autre secteur sur le DD.
Ce que détecte mbr est cette copie de l'infection.
Où elle se trouve, cette copie est inactive.
je vais demander à d'autres personnes pour le vérifier.
----------------------------------------------------------------------------------
1/ Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
2/ Tu peux faire le scan avec Nod32 et poster le rapport.
Je ne connais pas nod32 et je ne peux donc pas t'indiquer la démarche pour sauvegarder le rapport d'analyse
A+
Il se fait tard. je regarderais cela demain.
On va creuser mais j'ai un doute sur le rapport de mbr.
Il me semble que lors de ce type d'infection, ce rootkit, lorsqu'il s'est installé la première fois, a installé une copie dans un autre secteur sur le DD.
Ce que détecte mbr est cette copie de l'infection.
Où elle se trouve, cette copie est inactive.
je vais demander à d'autres personnes pour le vérifier.
----------------------------------------------------------------------------------
1/ Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
2/ Tu peux faire le scan avec Nod32 et poster le rapport.
Je ne connais pas nod32 et je ne peux donc pas t'indiquer la démarche pour sauvegarder le rapport d'analyse
A+
Il se fait tard. je regarderais cela demain.
Voici les deux rapports :
OTL.txt :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijUfzmTRi.txt
Extras.txt :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijXKaFGzd.txt
Je joindrai dans un second post l'analyse de Nod32.
Un grand merci du temps que tu m'accorde,
Bonne fin de soirée et a demain,
++
OTL.txt :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijUfzmTRi.txt
Extras.txt :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijXKaFGzd.txt
Je joindrai dans un second post l'analyse de Nod32.
Un grand merci du temps que tu m'accorde,
Bonne fin de soirée et a demain,
++
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
3 mai 2010 à 23:53
3 mai 2010 à 23:53
pas encore couché mais j'y vais. ZZZZZzzzz
A demain.
A demain.
Yep !
Alors oui, j'ai pu utiliser Combofix, pour virer quelques désinfections.
J'ai réalisé tout ce que tu m'as demandé dans sa globalité.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnDAkSNR.txt
++
Alors oui, j'ai pu utiliser Combofix, pour virer quelques désinfections.
J'ai réalisé tout ce que tu m'as demandé dans sa globalité.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnDAkSNR.txt
++
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 mai 2010 à 20:53
4 mai 2010 à 20:53
tarsk,
Je vois que tu viens de répondre à un post que j'avais ensuite supprimé où je te demandais de passer gmer.
En fait, en postant cette réponse, je m'étias rendu compte que tu n'avais pas encore posté le rapport de Nod32.
Et j'avais donc supprimé dans la foulée cette réponse.
mais bon, tu as bien fait. le rapport de gmer ne montre pas de trace de rootkit.
le rapport de nod32 est important car je voudrais bien savoir ce que détecte cet antivirus pour l'infection mebroot.
peux-tu lancer ce scan et poster le rapport ?
Ensuite, je te donnerais mon avis sur la suite .
Il y a une infection YoogSearch mais cela semble être tout.
A+
Je vois que tu viens de répondre à un post que j'avais ensuite supprimé où je te demandais de passer gmer.
En fait, en postant cette réponse, je m'étias rendu compte que tu n'avais pas encore posté le rapport de Nod32.
Et j'avais donc supprimé dans la foulée cette réponse.
mais bon, tu as bien fait. le rapport de gmer ne montre pas de trace de rootkit.
le rapport de nod32 est important car je voudrais bien savoir ce que détecte cet antivirus pour l'infection mebroot.
peux-tu lancer ce scan et poster le rapport ?
Ensuite, je te donnerais mon avis sur la suite .
Il y a une infection YoogSearch mais cela semble être tout.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 mai 2010 à 20:57
4 mai 2010 à 20:57
Tarsk,
je viens de relire le rapport.
Tu as changé tes protections
Nod32 --> Antivir + comodo.
As-tu lancé un scan avec antivir ?
A+
je viens de relire le rapport.
Tu as changé tes protections
Nod32 --> Antivir + comodo.
As-tu lancé un scan avec antivir ?
A+
Oui, j'ai changé de Nod32. On m'a dit qu'Antivir, c'était pas mal pour chasser les rootkits. Oui j'ai fait le scan avec Antivir, rien trouvé.
J'ai analysé les secteurs d'amorces, rien non plus.
J'ai analysé les secteurs d'amorces, rien non plus.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 mai 2010 à 21:31
4 mai 2010 à 21:31
Re,
Sans danger mais impossible a supprimé si ce n'est faire le formatage de la partition. :-(
-------------------------------------------------------------------------------------
Pour l'infection yoog,
Télécharge Yoog_Fix de Batch_Man sur ton Bureau.
http://batchdhelus.open-web.fr/programme/Yoog_Fix.exe
# Ferme ton navigateur si il est ouvert.
# Double-clique dessus et choisis l'option 1 ( Recherche )
# Attend que le scan se fasse, un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.
Note : S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt
A+
On m'a dit qu'Antivir, c'était pas mal pour chasser les rootkits. Oui j'ai fait le scan avec Antivir, rien trouvé.Oui, c'est vrai. Antivir détecte très bien ce type d'infection.
J'ai analysé les secteurs d'amorces, rien non plus.Comme je te le disais hier, ce que trouve mbr est une copie de l'installation de ce rootkit.
Sans danger mais impossible a supprimé si ce n'est faire le formatage de la partition. :-(
-------------------------------------------------------------------------------------
Pour l'infection yoog,
Télécharge Yoog_Fix de Batch_Man sur ton Bureau.
http://batchdhelus.open-web.fr/programme/Yoog_Fix.exe
# Ferme ton navigateur si il est ouvert.
# Double-clique dessus et choisis l'option 1 ( Recherche )
# Attend que le scan se fasse, un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.
Note : S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt
A+
Mais si MBR trouve qu'une copie sur le disque dur le plus important C:\ (là où j'ai installé mon système), ou est l'original ? Sachant que sur les autres disques dur, cela ne sert à rien. Fin je pense.
Un reformatage + réinstallation de windows permettrait de tout rentrer dans l'ordre ?
Voici le rapport de Yoog_Fix :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnX1kChM.txt
++
Un reformatage + réinstallation de windows permettrait de tout rentrer dans l'ordre ?
Voici le rapport de Yoog_Fix :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnX1kChM.txt
++
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 mai 2010 à 22:01
4 mai 2010 à 22:01
tarsk,
Il y a ceci à la fin du rapport de Yoog_Fix.
Peux-tu uploader le fichier indiqué au concepteur de l'outil ?
Merci d'avance.
---------------------------------------------------------------------------
Pour répondre à ta question, oui, évidemment cela remettra tout dans l'ordre puisque tu vas alors réécrire tous les secteurs du disque dur.
Par contre, pour ce qui est de l'infection initiale, je ne sais pas ce que tu avais pu faire auparavant.
En tout cas, elle n'est plus présente.
Tu me dis avoir utilisé ComboFix.
Était-ce dans le cadre d'une désinfection sur un forum ?
Cet outil est très puissant et nettoie automatiquement beaucoup d'infections.
Il est en effet préconisé sur les forums de désinfection mais de façon encadré. ;-).
Qu'en penses-tu ?
j'aimerais en tout cas repasser Combofix
A+
Il y a ceci à la fin du rapport de Yoog_Fix.
Veuillez uploader le fichier C:\Yoog_Fix\Backups\Backup_04_05_2010_2.zip à l'adresse suivante : http://batchdhelus.open-web.fr/upload Aide en images : http://batchdhelus.open-web.fr/upload/procedure.html Si la procédure échoue, veuillez l'envoyer à l'adresse email suivante : yoog.fix.sav@gmail.com
Peux-tu uploader le fichier indiqué au concepteur de l'outil ?
Merci d'avance.
---------------------------------------------------------------------------
Pour répondre à ta question, oui, évidemment cela remettra tout dans l'ordre puisque tu vas alors réécrire tous les secteurs du disque dur.
Par contre, pour ce qui est de l'infection initiale, je ne sais pas ce que tu avais pu faire auparavant.
En tout cas, elle n'est plus présente.
Tu me dis avoir utilisé ComboFix.
Était-ce dans le cadre d'une désinfection sur un forum ?
Cet outil est très puissant et nettoie automatiquement beaucoup d'infections.
Il est en effet préconisé sur les forums de désinfection mais de façon encadré. ;-).
Qu'en penses-tu ?
j'aimerais en tout cas repasser Combofix
A+
J'ai uploader le fichier indiqué au concepteur de l'outil ;)
Donc s'il n'y plus d'infection initiale, je ne cours plus de risque ? Un reformatage est-il nécessaire du coup ?
En ce qui concerne l'origine de l'infection, je n'en ai point idées. :/ Un fichier piégé je pense.
J'avais utilisé Combofix sans recommandations. Je l'ai utilisé après avoir étudié mes rapports d'analyse (Nod32) puis j'ai voulut vraiment tout erradiquer. Mais peut-être que maintenant, avec tes dire, c'est peut-être une erreur d'executer Combofix comme ça.
"j'aimerais en tout cas repasser Combofix "
Tu voudrais que je relance un scan avec Combofix ?
Donc s'il n'y plus d'infection initiale, je ne cours plus de risque ? Un reformatage est-il nécessaire du coup ?
En ce qui concerne l'origine de l'infection, je n'en ai point idées. :/ Un fichier piégé je pense.
J'avais utilisé Combofix sans recommandations. Je l'ai utilisé après avoir étudié mes rapports d'analyse (Nod32) puis j'ai voulut vraiment tout erradiquer. Mais peut-être que maintenant, avec tes dire, c'est peut-être une erreur d'executer Combofix comme ça.
"j'aimerais en tout cas repasser Combofix "
Tu voudrais que je relance un scan avec Combofix ?
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
4 mai 2010 à 22:31
4 mai 2010 à 22:31
Re,
Non, pas nécessaire en effet.
Oui, on va réutiliser ComboFix et on va aussi réécrire le secteur d'amorçage du disque dur.
mais on va commencer par poursuivre le nettoyage.
-------------------------------------------------------------------
1/ Une infection que je n'avais pas repéré mais que le rapport de Yoog_Fix a mis en évidence. Ce n'est pas bien grave, uniquement le détournement de page de navigateur Firefox --> hxxp://y.lo.st
Ouvre Firefox --> Outils --> Options --> général --> change la page d'accueil du navigateur.
2/ Il y a des traces d'une installation de Norton.
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Donc s'il n'y plus d'infection initiale, je ne cours plus de risque ? Un reformatage est-il nécessaire du coup ?
Non, pas nécessaire en effet.
Oui, on va réutiliser ComboFix et on va aussi réécrire le secteur d'amorçage du disque dur.
mais on va commencer par poursuivre le nettoyage.
-------------------------------------------------------------------
1/ Une infection que je n'avais pas repéré mais que le rapport de Yoog_Fix a mis en évidence. Ce n'est pas bien grave, uniquement le détournement de page de navigateur Firefox --> hxxp://y.lo.st
Ouvre Firefox --> Outils --> Options --> général --> change la page d'accueil du navigateur.
2/ Il y a des traces d'une installation de Norton.
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
:OTL PRC - [2007/09/26 11:56:14 | 000,554,352 | ---- | M] (Symantec Corporation) -- C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe SRV - File not found [On_Demand | Stopped] -- -- (LiveUpdate) O2 - BHO: (no name) - {1C2DA439-4680-4E85-A22D-EB2385FABF80} - No CLSID value found. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (no name) - {AFDF17A7-0C81-40E3-BF95-21D0D14E2F02} - No CLSID value found. O2 - BHO: (no name) - {CA2F6EE1-C89E-1FF8-6759-269EDA5AC1F3} - No CLSID value found. O2 - BHO: (no name) - {F1C6D59E-2AFB-4449-9EA8-3448917D7B73} - No CLSID value found. O2 - BHO: (no name) - {F829D492-6D5C-45DB-81EC-6D159BF9DEAB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No CLSID value found. [2010/04/26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe [2010/01/01 21:58:00 | 000,000,000 | ---D | M] -- D:\Documents and Settings\lulu\Application Data\EoRezo @Alternate Data Stream - 498 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:05EE1EEF @Alternate Data Stream - 182 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9 @Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:64217CD0 @Alternate Data Stream - 1158 bytes -> D:\Documents and Settings\lulu\Cookies:k6rvRklkw8FPOkbCfMY @Alternate Data Stream - 112 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:A73B0434 @Alternate Data Stream - 104 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 @Alternate Data Stream - 101 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:8A73166A :Commands [emptytemp] [emptyflash]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+