Reprise du message précédent :
Wow le scan de Gmer fut long, le voici enfin:  
 
http://www.cijoint.fr/cjlink.php?f [...] tX2jdG.txt

nous allons retenter un TDSSKiller
 
soit bien sûr de désactiver totalement Norton et tous tes log de protection
je te remets le speach en entier mais tu as déjà le log
 
/!\ désactive tous tes log de protection /!\
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

• Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

• Redémarre le PC

J'ai retenté mais toujours rien...
J'ai même vérifié le centre de sécurité et c'était bien marqué que c'était désactivé.
Il te dit quelque chose mon scan de Gmer?

 
bin oui il me dit ceci
 
File C:\WINDOWS\system32\drivers\disk.sys => suspicious modification
 
File C:\WINDOWS\system32\drivers\atapi.sys => suspicious modification
 
 puisque les outils ne veulent pas fonctionner, il va falloir chercher une copie saine de ces fichiers et les remplacer manuellement à l'aide d'outils spécialisés
=> je te prépare ça et je te dis quoi faire
A+

Intéressant ce topic n'est ce pas?
http://www.bleepingcomputer.com/fo [...] 98584.html

j'ai lu le topic en question et d'après ce que j'ai compris ils étaient sur le point d'abandonner lorsque combofix a pu enfin réparer
 
il y a des similitudes avec ton problème effectivement mais combo ne répare pas chez toi,et certains outils ne passent pas
il y a cependant une solution qui peut fonctionner.
 
comme je te le disais la suite va consister à rechercher avec "Seaf" une copie saine des fichiers patchés par le rootkit
ensuite avec un autre log(the avenger) il faudra tenter de les remplacer
 
ceci demande un peu de préparation pour rédiger les procédures et ne pas faire d'erreur
je suis aidé pour cette désinfection sensible par des" helpers" chevronnés.
 
dis moi ce que tu veux faire veux tu continuer ou préfères tu une solution plus radicale (formatage),c'est ton PC après tout  
 
j'attends ta réponse
 
 

OK je te suis

ok ,merci pour ta confiance   ,tu as compris que nous sommes en présence d'une de ces multi-infections récentes difficiles à éradiquer
 
voilà le premier travail que tu dois faire:
 
• Télécharge SEAF (de C_XX) sur ton Bureau.
• Lance SEAF
• Dans les options => règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
• Tape atapi.sys,disk.sys dans le champ de recherche => clique sur "Lancer la recherche" et patiente.
• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
 
toujours en passant par cijoint.fr

ai je besoin de désactiver norton?

http://www.cijoint.fr/cjlink.php?f [...] BP8lao.txt

je te demande un peu de patience ,faut pas se tromper dans le choix des fichiers  

OK

Sauvegarde tes données importantes, on est pas à l'abri d'un plantage!
 
voilà la suite des opérations,nous allons avec le script copier une copie des fichiers sains à la racine de C: et the Avenger remplacera ensuite les fichiers infectés par cette copie
 
1/ Télécharge The Avenger par Swandog46 sur ton Bureau.
 
http://swandog46.geekstogo.com/avenger.zip
 
l'extraire sur le bureau
 
 
2/ Télécharge ce fichier.zip à ton nom et dézippe le sur le bureau
 
tu dois voir un fichier .batch et un fichier .txt
 
=> exécute le script_batch.bat
 
Si tout va bien ça te doit te dire que la copie a réussi =>il doit y avoir les messages "la copie du fichier atapi.sys a reussi" et "la copie du fichier disk.sys a reussi"
 
 
3/ Lance The Avenger  puis Copier coller tout le texte du cadre ci dessous (sauf citation) (c'est ce qu'il y a dans le fichier .txt téléchargé)
 

 
puis clic droit => coller dans la fenêtre d'Avenger sous input script here, comme sur la capture
 

 
et clic execute.
 
/!\ Note Importante: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. (Tilo106)
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. /!\
 
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
 
4/ redémarre ton ordinateur
 
5/ repasse GMER, désactive bien ton antivirus et montre moi le rapport
 
si tu n'as pas compris quelque chose demande moi ,n'hésite pas.
 
Bonne chance

allez jme lance

Tout s'est bien passé sauf que j'ai eu une erreur quand je suis arrivé sur le bureau mais ça ne met pas en péril le système apparemment.
Voici le rapport:
http://www.cijoint.fr/cjlink.php?f [...] C7GZSs.txt

bonjour
 
les deux fichiers infectés ont bien été remplacés
 
montre moi le rapport de Avenger stp =>C:\avenger.txt  
 
as tu noté le message d'erreur?
 
il semble qu'il y ait un souci avec cijoint.fr en ce moment, héberge les rapports sur http://www.toofiles.com/fr/

A l'instant, j'ai fait une mise de Adobe reader et au redémarrage j'ai pas eu le message d'erreur..si elle revient je la noterai.
 

ok
 
ton lien marche pas
 
cijoint remarche apparemment
 
je te conseille vivement de mettre à jour ton Java tu tournes avec une vieille version 6 update 10
désinstalle là par Ajout/suppression de programme du panneau de config et installe ensuite la nouvelle version ICI  

http://www.cijoint.fr/cjlink.php?f [...] KE4Jfg.txt
 
Ok je m'occupe de Java.

comment se comporte ton PC ,as tu encore des alertes?

Non c'est bon, je n'ai plus d'alertes!ni de messages d'erreur J'avoue avoir eu quelques sueurs froides pour la dernière manip que tu m'as demandé!:sweat:  
En tout cas, MERCI beaucoup glops31!  
Tu es vraiment doué. Je te félicite.    
Je ferai volontiers de nouveau appel à tes services!    
 
Un dernier truc: Aurais- ru des recommandations à faire pour mieux me protéger ou un lien?

super !!  
 
Comme je te l'ai dit j'ai reçu de bons coups de main et je remercie nanard4700 , Anthony5151 et NicoVa    
 
En ce qui concerne la sécurité de ton PC ,tu marques un bon point ton système d'exploitation est à jour ainsi que tes navigateurs  
Tu pourrais cependant sécuriser davantage ton firefox et lui ajouter des modules comme Adblock+ pour bloquer les pubs néfastes et Wot pour être prévenu du risque de certains sites
Wot existe aussi pour IE
 
 => Tu peux vider la quarantaine de malwarebytes
_________________________________________________________________________________________
 
Beaucoup de "malware" se propagent par supports USB ou autre supports ammovibles,voilà pourquoi je te propose une vaccination des disques amovibles et du disque dur de ton PCavec l'option 3 de UsbFix
 

• ferme toutes tes applications et enregistre le travail en cours en cours
• Télécharge UsbFix et enregistre-le sur ton bureau  
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'être infectées sans les ouvrir
• Double clique sur le raccourci UsbFix présent sur ton bureau .
• Choisis l'option 3 ( Vaccination )
• Laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaîtra.[/list]

 
   * Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )
 
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
_____________________________________________________________________________________________
 
Enfin pour finaliser j'ai besoin d'un ultime rapport
 

• Télécharge:   HijackThis sur ton bureau  
• Installe le programme
• lance HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)  
• Clique sur "Do a system scan and save a logfile"
• patiente le bloc-notes va s'ouvrir => enregistre le fichier au format *.txt  

ensuite héberge le rapport sur cijoint.fr et poste moi le lien qui te sera fourni.
 
rappel:edition/sélectionner tout/copier/coller  
ou(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Hijackthis, je l'avais déjà sur mon pc:
http://www.cijoint.fr/cjlink.php?f [...] S1Kdl1.txt
 
Par contre pour USbFix, Norton m'a détecté un risque très élévé, il me l'a donc supprimé automatiquement...

bonjour
 
Norton est pénible  
 
Refais usbfix en le désactivant, fais moi confiance y a pas de souci  

Voici le rapport de Usbfix:  
http://www.cijoint.fr/cjlink.php?f [...] c87mNb.txt
 
C'est bon?

c'est tout bon pour USBFix =>tes supports sont maintenant vaccinés
 
tu peux continuer

Je crois que je peux marquer "résolu" dans le sujet à présent?

 
non pas tout à fait regarde ce que je t'ai préparé:  
 

• lance HijackThis
• clique sur "do a system scan only"
• coche les cases devant ces lignes :

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE  
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1215619015\ee\AOLSoftware.exe  
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install  
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background  
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    => Microsoft®Windows CTF Loader
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
 
 

• Ensuite  clique sur Fix Checked
• ferme hijackthis

note: ceci correspond à de l'optimisation ,cela ne désinstalle aucun programme mais empêche qu'ils soient lancés en même temps que Windows au démarrage
seules les lignes en gras doivent être impérativement "fixées".
 
________________________________________________________________________________________
 
pour vider les fichiers temp et nettoyer le registre fais ceci:
 

• Télécharge et installe  ccleaner :  
• Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• [url=http://www.libellules.ch/phpBB2/ccleaner-t30432.html]un  tutoriel[/ur] pour t'aider :  

• Tu peux conserver ce logiciel et l'utiliser régulièrement.

_________________________________________________________________________________________________
 
il faut supprimer les outils qui ont servi au nettoyage ainsi que leurs quarantaines qui contiennent les malwares, de plus ils sont régulièrement mis à jour  
pour cela:
 
note: ZHPFix peut être activé soit à partir de ZHPDiag  soit en cliquant sur l'icône si ZHPDiag est encore ouvert après un scan  
soit à partir du raccourci ZHPFix sur le Bureau si l'icône n'apparait pas.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Clique sur l'icône représentant la lettre =>
• une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
• clique ensuite sur nettoyer
• copie colle le rapport généré à la fin dans ta prochaine réponse

_______________________________________________________________________________________________
 
TRES IMPORTANT
 
Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:

• Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.
• Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui-là[/list]

 
______________________________________________________________________________________________
 
L'ordinateur est maintenant débarrassé de tous les malwares ,il faut retenir qu'aucun antivirus ou Antispyware ne le protègera à 100% ,la prudence est de rigueur sur le net ,tu trouveras des information à propos de la sécurité sur internet en lisant  ce fichier pdf provenant du site de "malekal_morte" ,il fait parti d'un projet anti-malware et je t'invite à le diffuser autour de toi.
 
voilà un peu de travail pour terminer, poste moi le rapport demandé et ensuite tu pourras indiquer "résolu"

http://www.cijoint.fr/cjlink.php?f [...] VNteT7.txt
 
Maintenant j'utilise Filehippo.com pour mes mises à jour, une bonne idée n'est -ce pas?

 
UpdateChecker => très bien
 
si tu n'as plus de souci ou de question ,tu peux  éditer ton premier message et inscrire [résolu]
 
content d'avoir pu t'aider,tu as bien travaillé    

C'est fait!  
 
Encore merci pour ton aide! Tu as fait du bon boulot!    
 
@+