[Résolu] PC infecté par un Stealer [Résolu]

Salut,

Tu l'as chopé où l'exe ? (Dis moi par MP par sécurité).

Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : http://pjjoint.malekal.com/files.php?id=df5ea299241015) Copie le lien dans ta prochaine réponse.

A bientôt.

Merci de ta réponse si rapide.

Voici le lien du rapport ZHPDiag: http://pjjoint.malekal.com/files.php?id=ZHPDiag_q15s8y7z7e7o13q6c7c5h15m13j9p10l5m14s12b15m12h9s5

Sinon pour l'exe je l'ai chopper sur un forum de jeuxvideo.com.

Mouhahaha.

Envoie le link du type qui propose en téléchargement son stealer :3

Désactive ton antivirus le temps de l'utilisation de l'outil car l'outil est détecté à tort comme infectieux

Télécharge ForceMove de Juju666

Exécute le.
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:

C:\Users\Dorian\Desktop\guiminer\guiminer.exe     
C:\Users\Dorian\Desktop\guiminer\poclbm.exe 
C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\searchplugins\daemon-search.xml   
C:\Program Files\Common Files\Spigot
C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com    
C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com 
C:\Program Files\Dealio Toolbar
C:\Program Files\Application Updater    
C:\users\dorian\appdata\roaming\m    
C:\Program Files\Babylon    
C:\Users\Dorian\AppData\LocalLow\BabylonToolbar    
C:\Users\Dorian\AppData\LocalLow\Dealio     
C:\Users\Dorian\AppData\LocalLow\Search Settings     
C:\Program Files\DAEMON Tools Toolbar   
C:\Users\Dorian\AppData\LocalLow\Conduit    
C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\SearchPlugins\conduit.xml   

Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

Je t'enverrais plus de détaille concernant l'origine du Stealer si ça t'intéresse (j'ai encore le lien de téléchargement etc..).

Voici le rapport:

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à  1:30:56  
 
##### Arrêt des processus 
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "C:\users\dorian\appdata\roaming\m    "   
 
Mis en quarantaine et supprimé ! : C:\Users\Dorian\Desktop\guiminer\guiminer.exe       
Mis en quarantaine et supprimé ! : C:\Users\Dorian\Desktop\guiminer\poclbm.exe   
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\searchplugins\daemon-search.xml     
Mis en quarantaine et supprimé ! : C:\Program Files\Common Files\Spigot  
Mis en quarantaine et supprimé ! : C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com      
Mis en quarantaine et supprimé ! : C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com   
Mis en quarantaine et supprimé ! : C:\Program Files\Dealio Toolbar  
Mis en quarantaine et supprimé ! : C:\Program Files\Application Updater      
Mis en quarantaine et supprimé ! : C:\Program Files\Babylon      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\BabylonToolbar      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Dealio       
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Search Settings       
Mis en quarantaine et supprimé ! : C:\Program Files\DAEMON Tools Toolbar     
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Conduit      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\SearchPlugins\conduit.xml        
  
  
########## Terminé avec succès à  1:33:01  
  
########## ( EOF )  

Ok si tu peux le faire par MP ça m'intéresse merci ;)

▶ Télécharge MBAM et installe le selon l'emplacement par défaut
http://www.malwarebytes.org/mwb-download.php
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware

▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

▶ Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

6 éléments infectés, j'ai donc supprimer, voici le rapport:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8008

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24/10/2011 04:02:47
mbam-log-2011-10-24 (04-02-47).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 436109
Temps écoulé: 1 heure(s), 39 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe (PUP.BitMiner) -> Not selected for removal.
c:\Users\Dorian\downloads\ganjin_ktr_2012.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.7 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.8 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Salut !

c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe (PUP.BitMiner) -> Not selected for removal.

Pourquoi ne l'as-tu pas supprimé?

Relance ForceMove

Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:

%AppData%\Xenocode 
%ProgramFiles%\Xenocode 
c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe 

Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide
.::. Contributeur Sécurité .::.

Voilà qui est fait, je n'avais pas supprimer c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe car je pensais que ce n'était pas une menace réel puisque je sais parfaitement ce que c'est et je l'ai depuis longtemps mais on sait jamais.

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 13:47:22  
 
##### Arrêt des processus 
ArrÛtÚ : PID 4812 'Firefox.exe'  
ArrÛtÚ : PID 1752 'explorer.exe'  
ArrÛtÚ : PID 1752 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "%AppData%\Xenocode "   
Absent !!! : "%ProgramFiles%\Xenocode "   
 
Mis en quarantaine et supprimé ! : c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe      
  
  
########## Terminé avec succès à 13:47:44  
  
########## ( EOF )  

Re :)

Ouvre un dossier et tout en haut dans la barre de navigation tape %ProgramFiles%\Xenocode

est-ce qu'un dossier s'ouvre?

Pour bitcoin-miner.exe si MBAM le détecte c'est qu'il est néfaste. La détection de PUP signifie "Programme potentiellement nuisible" en français.

En effet il s'ouvre un dossier vide, à cette adresse C:\Program Files\Xenocode

:)

Relance ForceMove et colle ça maintenant dans le bloc note qui s'ouvre pour voir:

C:\Users\Dorian\AppData\Roaming\Xenocode
C:\Program Files\Xenocode

Fichier>Enregistrer>puis tu ferme le bloc note

Poste le rapport

Voilà le rapport:

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 14:02:26  
 
##### Arrêt des processus 
ArrÛtÚ : PID 1308 'Firefox.exe'  
ArrÛtÚ : PID 1308 'Firefox.exe'  
ArrÛtÚ : PID 4668 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "C:\Users\Dorian\AppData\Roaming\Xenocode"   
 
Mis en quarantaine et supprimé ! : C:\Program Files\Xenocode     
  
  
########## Terminé avec succès à 14:04:02  
  
########## ( EOF )  

Voilà qui est mieux :)

Relance ZHPDiag, coche tout au tournevis vert, et clique ensuite sur la loupe.

On va voir qu'il ne reste plus rien avant de finaliser.

Voici le lien du rapport:

http://pjjoint.malekal.com/files.php?read=ZHPDiag_x10i6d11y11p5o15y9n14e9g11k12o9x14e14r12g6e5b13l8u15

Ok, lu.

Désinstalle Spybot il ne sert plus rien

~~

T'as téléchargé des programmes gratuits qui installent des toolbars et des adwares.
Pense à décocher les options quand tu installe un programme ;)

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

J'ai supprimer Spybot, et voici le rapport:

# AdwCleaner v1.312 - Rapport créé le 24/10/2011 à 14:29:00
# Mis à jour le 18/10/11 à 21h par Xplode
# Système d'exploitation : Windows 7 Ultimate  (32 bits)
# Nom d'utilisateur : Dorian - DORIAN-PC-FIXE (Droits Limités)
# Exécuté depuis : C:\Users\Dorian\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:4360] -> Tué

***** [Processus] *****


***** [Services] *****

Arrêté & Supprimé :  : Application Updater

***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Dealio
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

Remplacé : [HKLM\..\AboutURls - Tabs] = hxxp://start.facemoods.com/?a=ddr&f=2 --> res://ieframe.dll/tabswelcome.htm

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : 5j08ikjp.default
Fichier : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\prefs.js

Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2604146&SearchSource=3&q={searchTerms}");
Supprimée : user_pref("extensions.facemoods.aflt", "_#ddr");
Supprimée : user_pref("extensions.facemoods.firstRun", false);
Supprimée : user_pref("extensions.facemoods.lastActv", "21");

-\\ Google Chrome v14.0.835.202

Fichier : C:\Users\Dorian\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [313 octets] - [24/10/2011 14:27:53]
AdwCleaner[S2].txt - [3940 octets] - [24/10/2011 14:29:00]

*************************

Dossier Temporaire : 53 dossier(s)et 106 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [4162 octets] ##########

héhé :)

On enchaine :

▶ Télécharge AD-Remover sur ton Bureau : (TeamXScript)

http://forum-aide-contre-virus.be/download/AD-Remover.html

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme le lancement du nettoyage
▶ Laisse travailler l'outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.

♦ Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Redémarre le pc comme le demandera AD-Remover, refais moi un ZHPDiag en prenant soin de tout cocher au tournevis vert et on finalisera :)

Voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijtb9OIl4.txt

Voici le lien du rapport ZHPDiag:

http://pjjoint.malekal.com/files.php?read=ZHPDiag_v11b7z11l8f9o12o7o8b10e15v15i12p12l15l13x10o6j15l6f5

Vu :)

C:\Users\Dorian\AppData\Roaming\chrtmp

J'aime pas ça :p

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
et http://www.bleepingcomputer.com/forums/topic114351.html
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : http://windows.microsoft.com/fr-FR/windows-vista/Turn-Windows-Firewall-on-or-off
~~
Windows Defender : http://windows.microsoft.com/fr-BE/windows-vista/Turn-Windows-Defender-on-or-off
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix