Falkra

Bonjour, ça vient de Security for HP ProtectTools, tu as sans doute ça sur ta machine, mais ne le désinstalle pas. L'erreur vient d'une clé de registre qui a sauté, sans doute à cause d'un nettoyeur de registre type CCleaner ou Glary Utilities. Je rabâche que ces programmes font souvent des dégâts, après pour retrouver la source, c'est coton. Télécharge et exécute ce fichier reg (avec droits admins : autorise), pour voir et redémarre la machine : http://senduit.com/509b89 Je poste le contenu du fichier reg pour ceux qui veulent lire. (Trouvé via Google, rien de magique hein) Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Infenion\TPM Software] "C_SpURsDll"="C:\\Program Files\\ProtectTools\\Embedded Security Software\\IfxSpURs%s.dll"

OK, supprime Gmer. Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau. Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, - Un rapport sera généré : mbr.log. Copie/colle le résultat de ce log dans ta réponse.

Là c'est ok. Pollingmodule fait partie de Wanadoo, fait mémoriser, autoriser et coche "approuver ce programme". Je pense que tu ne devrais plus avoir d'alerte Antivir.

C'est le fichier .reg que je t'ai fait télécharger qu'il faut ajouter au registre, pas RSIT.

Bon... ben tu vas télécharger une nouvelle version de combofix ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Mets-le sur le bureau, écrase l'ancien fichier, et re-tente le coup. Rien ne doit tourner en même temps, et il ne doit en aucun cas être interrompu. (Préviens la famille au cas où, garde le chat avec toi (s'il y a un chat), etc. Je te remets les infos. C'est combofix qui a fait un point de restauration système qui a sauvé ta machine. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Ca fonctionne, mais juste lent ?

Fais clic droit dessus en maintenant la touche majuscule enfoncée, et choisis "ouvrir avec" et là tu lui dis regedit ou parcourir et c:\windows\regedit.exe puis tu valides l'inscription du ficheir au registre.

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Essaie le point de restauration du 17/02, combofix l'a fait avant de travailler.

Ca fait ça quand tu double cliques sur le fichier .Reg ?

Ok, ça c'est très bien, en fait. Tu peux supprimer Antiboot. Je te prépare la suite.

Télécharge ce fichier .reg et double clique dessus pour l'ouvrir et restaurer les associations de fichier : Si on te demande avec quoi l'ouvrir, lui c'est regedit.exe (éditeur de registre) c:\windows\regedit.exe Dans la liste on peut avoir des entrées "explorateur windows" "explorer.exe" ou bien quand on fait parcourir "c:\windows\explorer.exe"

Si rien ne s'ouvre, ce n'est pas une affaire. Essaie la restauration système, pour restaurer le système avant la date de l'interruption de combofix.

Oui, extraire et décompresser c'est pareil. Tu devrais te trouver avec un dossier Antiboot sur le bureau, après, avec dans le dossier, les fichiers en question.

Si ça m'ennuyait, je ne participerais pas. Tu peux aussi faire un clci droit sur le lien que j'ai posté, et choisir "enregistrer (la cible) sous : on te laissera choisir où enregistrer.

Ma question était un peu provocatrice, et cache autre chose : en fait, ce n'est pas en supprimant un dossier qui contient quelques dizaines de Mo qu'on redonne du punch, on gagne un peu d'espace disque (qu'est-ce dans un disque de plusieurs centaines de Go ?) mais ça ne rend pas la machine plus rapide. Selon que tu as installé IE8 après le SP3 ou avant, ces fichiers peuvent servir à restaurer IE7 dans le cadre d'une désinstallation, il y a tout le setup et des infos de mise à jour. Par défaut j'ai tendance à ne pas toucher à ce qui fonctionne, d'autant qu'en supprimant, l'opération est irréversible, dans le cas présent.

Les fichiers ne sont pas tous réparés, ça résiste on va essayer 2-3 autres choses. Télécharge antiboot.zip et enregistre-le sur le bureau (et pas ailleurs): Décompresse le dossier.zip: http://www.7-zip.org/ Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous: Si un dossier jaune nommé antiboot est sur le bureau --> *** Si les fichiers sont décompressés directement sur le bureau (antiboot.exe et un fichier eula.txt) --> Une fenêtre noire va s'ouvrir; laisse travailler l'outil. Si le message suivant apparait: "rootkit has been detected! Would you like to cure? " , tu auras le choix: Y/N : presse la touche Y. L'outil va désinfecter puis demander un redémarrage. Toutes les applications doivent être fermées (sauf l'outil) presse alors la touche Y (yes) et valide par la touche Enter (entrée) du clavier. *** Si le pc n'est pas infecté par ce rootkit, l'outil le signalera par ce message: "No infected disks found". Poste le rapport qui se trouve sur le C:\logfile.txt Source: http://support.kaspersky.com/viruses/solutions?qid=208280748

Est-ce que tu arrives à avoir un bureau, lors de certains démarrages ? En mode sans échec ? En lançant manuellement explorer ?

Télécharge manuellement TDSS killer, décompresse le rar et lance l'utilitaire à la main (dis oui pour la désinfection) : http://www.esagelab.com/files/tdss_remover_latest.rar Là tu devrais avoir un rapport.

Il faut l'ouvrir avec explorer.exe, pas avec word ou bloc notes. Tu es sous XP, Vista, 7 ?

Ca, ce n'est pas lié à un virus/malware. Le registre est endommagé, vois ici : http://support.microsoft.com/default.aspx?scid=kb;fr;307545 Fais toi prêter un cd de XP, mais tu devrais en avoir un sous la main.

Bonsoir, pourquoi les supprimer ?

Parfait. Voici un autre script. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/4cdf50 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Choisis explorer.Exe (explorateur windows).

Bien, ce n'est pas fini, mais en bonne voie. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\kat9s1.dll Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.