Falkra

OK, pas de souci, pour ça. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\CLASSPNP.SYS Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement. On regardera sans doute aussi disk.sys et acpi.sys ou halmacpi.dll plus tard.

Tu as la nouvelle version d'une bestiole très pénible. 1. Télécharge The Avenger par Swandog46 sur ton Bureau. Décompresse le fichier avenger.exe sur le bureau 2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre : drivers to disable: H8SRTd.sys drivers to delete: H8SRTd.sys Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur. Sous "Input Script There", colle le code précédemment copié. Clique sur Execute Réponds "Yes" quand demandé. 4. The Avenger va automatiquement faire ce qui suit: Il va Re-démarrer le système. Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse. --------------- Après ce passage d'Avenger, démarre combofix (instructions au post 4), en mode normal, il ne devrait pas planter cette fois, et poste le rapport stp.

Tu utilises ASUS Data Security Manager ? Il verrouille et cache des fichiers, mais est-ce que cela te sert ? C'est un programme légitime, installé par le constructeur.

Je vois la bestiole. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files c:\program files\fichiers communs\PSecurityUninstall c:\program files\PSecurity :commands [start explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Après ça, essaie de réutiliser MBAM (mets-le à jour s'il démarre !).

Réessaie Gmer, sans cocher Devices, Sections, IAT/EAT **Assure-toi que "Show All" est décoché**

Ne déplace pas ton DDR, de toute façon les antivirus ne suffisent pas pour la plupart de ces bestioles là. Ca plantait sur "Devices" dans rootrepeal, mais sur files, pareil ?

Ok, oublie Gmer provisoirement. Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous: http://ad13.geekstogo.com/RootRepeal.zip http://rootrepeal.googlepages.com/RootRepeal.zip http://rootrepeal.psikotick.com/RootRepeal.zip Enregistre le fichier sur ton Bureau. Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\) Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal) Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur). /!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. /!\.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane ) Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan. Dans la nouvelle fenêtre Select Scan, coche: Clique sur le bouton OK Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\) Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active. Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le. Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme. /!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\ --> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepealn1.txt) Note: Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

Copie-colle le contenu dans ta prochaine réponse. Ouvre la fenêtre contenant le rapport, fais CTRL+A pour tout sélectionner, puis CTRL+C pour copier, ensuite va sur le forum, fais répondre et dans le champ où tu tapes la réponse, fais CTRL+V pour coller le rapport.

McAfee est cassé, et IE plante. Tu as ça sur ton bureau, normal ? C:\Documents and Settings\Brossard Jean-Yves\Bureau\wovvupn6.exe Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\Documents and Settings\Brossard Jean-Yves\Bureau\wovvupn6.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse. ------------- Si ça ne marche pas, voici la suite. Télécharge OTL sur le bureau : http://oldtimer.geekstogo.com/OTL.exe Double clicque sur son icôpne pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit. Sous l'emplacement "Custom Scan" copie colle le contenu de cette boite CODE : netsvcs %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys /md5stop CREATERESTOREPOINT Clique sur le bouton "Quick Scan". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide. A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt. Ce sont deux fichiers de rapports, sauvegardés au même encdroit qu'OTL.exe, que tu as téléchargé. Copie-colle le contenu de ces fichiers dans ta prochaine réponse stp.

Ok, tu as probablement une très sale bestiole. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

On va essayer d'autres choses. Télécharge DDS de sUBs, sur le bureau. L'outil ne nécessite pas d'installation, lance-le en cliquant sur l'icône dds.scr Une fenêtre DOS va apparaitre. Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau. Il te sera demandé si tu veux faire le scan optionnel. Accepte. Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau. Poste le rapport DDS.txt seulement, si ça marche, pour le moment.

Bonjour, bienvenue. Tu as peut-être une des bestioles bien coriaces du moment. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

On a avancé, mais il semble rester 2-3 choses encore. As-tu toujours des redirections sur internet ? Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Je transfère vers la section analyse. Certains malware peuvent être à l'orgine de ce type de blocages.

De rien, n'hésite pas à poser des questions si tu as des difficultés ou des doutes sur la méthode pour la partie prévention.

Tu peux désinstaller les toolbars yahoo et google, ce n'est pas toujours une affaire les toolbars : Les toolbars, ce n'est pas obligatoire Tu ne sembles pas avoir désinstallé Diskeeper. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Si tu veux tenter plus lourd, tu peux ouvrir une demande dans la section sécurité > optimisation pour plus de nettoyage. Par contre on risque de te dire la même chose pour Norton en tout cas. Précsie, si tu ouvres le topic, que tu as 512 de ram. Côté infections on doit être ok, poste un dernier rapport HijackThis stp, et je te poste les conseils de prévention.

Le problème de Norton, c'est qu'il en met partout, et avec 512 Mo de ram sur XP + tes programmes d'usage courant, cela peut suffire à encombrer la machine.

Désactiver norton ips2 dans firefox permettrait de voir si après un redémarrage du navigateur, la lenteur disparaît. Tu peux aussi lancer Firefox en mode sans échec (son mode sans échec à lui pour voir) : http://www.libellules.ch/reparer_firefox.php (méthode 1)

Ce n'est pas forcément une toolbar, est-ce que tu as une entrée Norton dans les extensions (pour la liste, voir chemin donné dans mon post précédent) ?

Essaie de désactiver l'extension Norton IPS (menu outils, options, modules complémentaires, extensions : un redémarrage de Firefox sera nécessaire). Côté lourdeur, Norton est encore bien coté.

Tout n'est pas éliminé on dirait. Double clicque sur OTL pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit. Sous l'emplacement "Custom Scan" copie colle le contenu de cette boite CODE : netsvcs %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys /md5stop CREATERESTOREPOINT Clique sur le bouton "Quick Scan". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide. A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt. Ce sont deux fichiers de rapports, sauvegardés au même encdroit qu'OTL.exe, que tu as téléchargé. Copie-colle le contenu de ces fichiers dans ta prochaine réponse stp.

Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous: http://ad13.geekstogo.com/RootRepeal.zip http://rootrepeal.googlepages.com/RootRepeal.zip http://rootrepeal.psikotick.com/RootRepeal.zip Enregistre le fichier sur ton Bureau. Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\) Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal) Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur). /!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. /!\.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane ) Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan. Dans la nouvelle fenêtre Select Scan, coche: Clique sur le bouton OK Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\) Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active. Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le. Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme. /!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\ --> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepealn1.txt) Note: Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

Désinstalle, et installe en remplacement MyDefrag (gratuit, légal, etc). FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.