Mon pc est controlé ! Fermé

Question

Bonjour, 

J'ai l'impression que mon pc est controlé à distance, ma souris bouge toute seule et l'ordi ce mets à ramer quand la souris bouge toute seule, j'ai ad-aware et spybot il m'ont enlever quelques fichiers, mais le problème persiste!
Est-ce que vous avez une solution?!

Merci d'avance!

Configuration: Windows XP / Internet Explorer 7.0

fred08700 · Answer

salut

fais ceci

&#9679 Télécharges Random's System Information Tool (RSIT)  de Random/Random, et enregistres le sur ton Bureau. 

sous windows 7 ==> regarder ici 

  &#9679 Double clique sur RSIT.exe pour lancer l'outil. 

  &#9679 Cliques sur "Continue" à l'écran Disclaimer. 

  &#9679 Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence. 

  &#9679 Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp 

 * Tutoriel illustré pour t'aider  

 *  pour héberger les rapports trop longs de RSIT

Bazile · Answer

Ok voila le log.txt : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijB0lvNCP.txt

Et le info.txt : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijrPV0zLl.txt

Merci!

fred08700 · Answer

bien

tu es très infecté . On commence

● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

Déconnecte toi et ferme toutes les applications en cours

● Double-clique sur l'icône AD-Remover
● Au menu principal, clique sur "Nettoyer"
● Confirme le lancement de l'analyse et laisse l'outil travailler
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

<gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

********************

* Télécharger et enregistrer lopSD sur ton bureau : http://www.malekal.com/tutorial_Lop_SD.php
* Double-clic Lop S&D
* Faire l'installation
* Fermer toutes les applications
* Le lancer par un double-clic sur le raccourci qui est sur le bureau

* Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
* Taper F pour français , puis presser entrée
* Taper 1
* Presser Entrée
* Le PC va redémarrer

* Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
* Attendre l'apparition du rapport
* Copier le rapport et le coller dans la réponse

* le rapport se trouve aussi à C:\lopR

********************

* Télécharge Smitfraudfix et enregistre le sur le bureau.
* Ensuite double clique sur smitfraudfix puis exécuter
* Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)
* copier/coller le rapport dans la réponse.

Voici un tutoriel sonore et animé

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)

Bazile · Answer

Ah bon beh ok, c'est parti !

Bazile · Answer

Voila l'analyse de AD-remover
http://www.cijoint.fr/cjlink.php?file=cj201006/cijE7ahVRK.txt

Nod32 le considère comme un virus et l'a mis en 40ène... Mais après le rédémarrage de l'ordi.

Je telecharge le reste des logiciels ou c'est bon?

fred08700 · Answer

passes les deux autres outils.

C'est pas encore terminé -)

Bazile · Answer

L'analyse de lopSD : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijERLiu3Y.txt

Utilisateur anonyme · Answer

Pour avancer fred :
lance lop s& d en option 2 et poste son rapport

Bazile · Answer

Le site d'hebergement bug 
Je poste ici le rapport de smitfraudfix : 

SmitFraudFix v2.424

Rapport fait à 14:30:14,42, 13/06/2010
Executé à partir de C:\Documents and Settings\HP_Propriétaire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\WINDOWS\V0220Mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Native Instruments\Hardware\NIHardwareService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\config.ini PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propriétaire


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propriétaire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 81.253.149.1
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E4D8A80D-06CB-4BD7-8D72-B4D36AEA0C9E}: NameServer=81.253.149.1,80.10.246.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E4D8A80D-06CB-4BD7-8D72-B4D36AEA0C9E}: NameServer=81.253.149.1,80.10.246.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E4D8A80D-06CB-4BD7-8D72-B4D36AEA0C9E}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E4D8A80D-06CB-4BD7-8D72-B4D36AEA0C9E}: NameServer=81.253.149.1,80.10.246.3
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

https://forums.commentcamarche.net/forum/affich-18125780-mon-pc-est-controle#11

fred08700 · Answer

re

Fait comme proposé par Electricien69 == merci à lui ==

- Relance Lop S&D			
							
- Choisis cette fois-ci l'option 2 (Suppression)			
									
- Ne ferme pas la fenêtre lors de la suppression !			
								
- Poste le rapport généré (C:\lopR.txt)			

* (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

***********************

smitfraudix

	Option 2 - Désinfection :									


	      Redémarrer l'ordinateur en mode sans échec									
	Comment redémarrer en mode sans échec ??									

	    * Double cliquer sur smitfraudfix									
	    * Sélectionner 2 pour supprimer les fichiers responsables de l'infection.									
	    * A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.	  ==> ton fond d'écran sera supprimé		
	    * Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.			
	    * Enregistre le rapport sur ton bureau			
	    * Redémarrer en mode normal et poster le rapport.

Bazile · Answer

Voici le rapport de LOP S&D avc l'option 2 : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijg1lHWul.txt

Je passe à smitfraudix en mode sans echec

Bazile · Answer

Voila le rapport de smitfraudix :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijWmqxDHs.txt

On en est où là ? ^^

Merci pour votre aide!

fred08700 · Answer

re

on en est que tu as encore des infections révélées par Lopsd

infection navipromo

Navipromo est une infection qui affiche des fenêtres publicitaires intempestives.

Les programmes suivants installent cette infection :

    * Funky Emoticons
    * Games Attack
    * Go-astro
    * GoRecord
    * HotTVPlayer
    * Live Player
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Officiale Emule (Version d'Emule modifiée)
    * Original-solitaire
    * Speed Downloading
    * Sudoplanet
    * WebMediaPlayer 

	    &#9679 Télécharges sur le bureau Navilog1 ( prendre le 2ème lien )				

	     &#9679 Si ton antivirus s'affole , le désactiver				

	    
	     &#9679 sous XP : double-clic dessus pour le lancer				

	     &#9679 taper F				

	    &#9679 Appuyer sur une touche pour arriver aux options				

	     &#9679 Choisir Recherche/Désinfection automatique ( = taper 1 )		

	     * un rapport : fixnavi.txt dans ==> C :		

	    * le copier et le coller dans la réponse		
			 
*******************

présence de rootkit

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page , et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
* Héberge le rapport sur ci-joint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

fred08700 · Answer

j'allais oublié 

supprimes tes cracks 

C:\DOCUME~1\HP_PRO~1\Cookies\hp_propriétaire@www.crackserialcodes[2].txt 
C:\DOCUME~1\HP_PRO~1\Cookies\hp_propriétaire@www.downloadcrackserialkeygen[2].txt 

 Le danger des cracks 

PS ==> je dois partir , je reviens dans la soirée , si Electricien69 passe par là, c'est sans problème -)

Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

Utilisateur anonyme · Answer

je suis  :-)

bazile · Answer

Ok voici le rapport de navilog1 :    

http://www.cijoint.fr/cjlink.php?file=cj201006/cijNBAnTV7.txt  

J'arrive pas à supprimer le fichier crack j'ai copier/coller l'adresse que tu m'a donner C:/ mais ca m'ouvre directement le fichier donc j'ai supprimer ce qu'il y a d'écrit dans le bloc note c'est tout... 

Je passe aux rootkits. (Ma souris bouge toujours toute seule... ca fait comme des "acoup"

Utilisateur anonyme · Answer

ok, 
vas dans le menu demarrer, puis executer, tappe CMD, à l'invite de commande, tappe :

1*/ netsh int ip reset all 
   
puis appuie sur Entrée
 
2*/netsh winsock reset     

pui appuie sur Entrée

3*/Puis redémarrer le pc

repasse un autre rsit, hébérge le rapport sur cijoint, poste le lien fourni par le site sur ton prochain message :
https://forums.commentcamarche.net/forum/affich-18125780-mon-pc-est-controle#1

note : tu n'auras qu'un seul rapport (log.txt)

bazile · Answer

Et j'arrive pas a scanner avec Gmer windows me dit qu'il a recontrer une erreur. Du coup il ce ferme, et pas eu le temps de faire quoi que ce sois.

Ok je fais l'inviter de commande.

Utilisateur anonyme · Answer

après la manipulation et le redemarrage du pc, lance le rsit, j'attends le lien du rapport  :-)

bazile · Answer

voila le rapport de rsit : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijk6OmMTH.txt

Utilisateur anonyme · Answer

*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

https://www.ionos.fr/?affiliate_id=77097

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.

- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc

Tuto Scan : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html

bazile · Answer

Voila le rapport d'erreur : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijZCBxmDp.txt

Utilisateur anonyme · Answer

ce n'est pas un rapport d'erreur, mais de scan  :-)

relance usbfix, clique sur le boutons suppression  :

Tuto Kill : http://pagesperso-orange.fr/nostools/tuto_usbfix3.html

bazile · Answer

Voila le rapport de suppresion : 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijT4Brd7r.txt

bazile · Answer

Ca en est où ?

Ma souris bouge toujours toute seule :/

Utilisateur anonyme · Answer

envoie ce fichier, ceci permet d'améliorer usbfix :

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_FAMILLE.zip
https://www.ionos.fr/?affiliate_id=77097

Merci de ta contribution.

reepasse un autre rsit, héberge le rapport sur cijoint, copie et colle le lien fourni par le site sur ton prochain message :
https://forums.commentcamarche.net/forum/affich-18125780-mon-pc-est-controle?full#1

note : tu n'auras qu'un seul rapport (log.txt)

bazile · Answer

Bon quelqu'un controle toujours ma souris ...
Il n'existe pas de logiciel ou quelque chose pour empecher les intrusions comme ca ?

Merci.

Utilisateur anonyme · Answer

bonsoir,
nettoie ta sourie et son tapis, si tu as une sourie optique, ça va passer.

si tu disposes d'une souris sans file, vérifie l'état des pile  ;-)

bazile · Answer

c'est une sourie optique ...

Utilisateur anonyme · Answer

nettoie la et son tapis aussi  :-)

bazile · Answer

Ya toujours le problème...

Utilisateur anonyme · Answer

qu'utilises tu comme tapis sourie ?

bazile · Answer

Je n'utlise pas de tapis c'est une sourie avec la led rouge dessous, elle est directement posée sur le bureau qui lui est noir.

Est-ce que c'est possible qu'on me controle même après la déconnection?

J'ai essayer le truc, parce-qu'en faite je bouge très rapidement la sourie et d'un coup elle part à l'opposer de là ou elle était.

Je sais pas si je me fait comprendre mais en gros je bouge la sourie très rapidement au centre de l'écran et d'un coup elle part dans les coins ou même ailleurs...

Et j'ai tenter sans la connexion ca continuer juste après la déconnexion à environ 5 secondes de la déco et après à environ 30 secondes de la déconnexion ca ne le faisait plus.

J'espère que vous avez compris ^^.
Merci!

Utilisateur anonyme · Answer

bonsoir,
personne te contrôle, mais on va lancer les grands moyens ::


*	/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
/!\INSTALLES LA CONSOLE DE RECUPERATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.