[Résolu] Fenêtres intempestives qui s'ouvrent toutes seules

[pear]

Le rescue disk nettoie, éventuellemnt, mais ne fait pas de rapport.

 

Faites un scan en ligne:

 

Désactiver l'antivirus actuel et faire un scan en ligne avec l'un de ces logiciels

 

1) Kaspersky détecte mais ne supprime rien

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

b]Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

Kaspersky

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

 

2)ou ,autre choix,Nod 32 Détecte et supprime

Tuto Eset Nod32

 

 

Poster les rapports

[speck41]

Salut Pear,

ça n'a pas l'air bon, je ne suis pas capable d'effectuer un scan online. Le téléchargement du programme est ok, c'est lors de l'update du database que ça plante. Ensuite impossible d'aller plus loin. Avec internet explorer bien sur.

J'ai uploadé un print screen sur ci joint.

 

© CJoint.com, 2010

 

À bientot,

Speck41

[pear]

Bonjour,

Ce n'est pas bon en effet.

Jusque là aucune recherche n'aboutit, même pas le rescue disk !

 

Recherche de rootkit

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

The Avenger sait rechercher des rootkits cachés(par définition) .

Pour pour activer cette fonction:

Vérifiez que la case "Scan for rootkits" est bien cochée.( Elle l'est par défaut).

 

 

 

Ne pas autoriser The Avenger à désactiver automatiquement tous les rootkits qu'il trouve.

 

Cliquez sur Exécute.

la recherche de rootkits se fera au redémarrage , avant l'installation de Windows.

Un fichier log s'ouvrira que vous pourrez retrouver ici : C:\avenger.txt

Copiez /collez le résultat dans votre réponse.

[speck41]

Bonjour Pear, pas plus de succès avec The Avenger. J'ai suivis tes instructions à la lettre et au redémarrage il ne se passe rien d'autre que l'ouverture de windows 7. Pas de rapport C:\avenger.txt non plus. J'ai même désactivé l'ouverture de tous les programmes dans msconfig sans de meilleurs résultats. J'ai désinstallé microsoft security essentials et j'instale en ce moment NOD32 pour l'essayer. Je t'en redonne des nouvelles et si tu as d'autres suggestions je suis preneur. J'aimerais qu'on trouve un vaccin à ce problème, ça nous donnerais de l'expérience et à toi une certaine satisfaction je suppose, mais, ne t'en fait pas car si c'est impossible, je sauvegarderai le plus important sur un disque externe et je vais formater.

Merci Speck41

[pear]

si c'est impossible, je sauvegarderai le plus important sur un disque externe et je vais formater.

 

Ce n'est pas une mauvaise idée,car je commence à sécher.

Un dernière tentative, cependant:

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.

Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.

Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.

S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

 

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

 

sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :

netsvcs

drivers32

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

wininit.exe

taskmgr.exe

userinit.exe

csrss.exe

winlogon.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

cdrom.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\*. /mp /s

CREATERESTOREPOINT

 

clic Run Scan .

le scan terminé , le fichier se trouve là C:\OTL.txt

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Modifié le 17 décembre 2010 par pear

[speck41]

Bonjour Pear, pour ce qui est d'avoir une machine en bonne santé il n'y a pas de problèmes....j'en ai 3 autres.

Maintenant, j'ai fais le cd (dvd) .iso sans problèmes. Mon portable est configuré pour démarrer du lecteur DVD. Tout se charge bien, mais, je ne peux pas faire la procédure qui suit:

''Si tout va bien, la machine démarrera sur l'environnement OTLPE

Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.

Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.

Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.

S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

 

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK''

 

Aucune de ces étapes n'aparaissent et je me retrouve sur un environement REATOGO-X-PE ???

et, lorsque je clique sur l'icone OTLPE j'ai l'onglet suivant qui s'ouvre:

 

© CJoint.com, 2010

 

alors je ne peux aller plus loin.

Est-ce que je fais quelque chose d'incorrect?

Merci Speck41

[pear]

Bonsoir,

 

Encore du jamais vu!

 

La seule chose faite avant cet incident, c'est le téléchargement et la gravure de l'iso.

Je pense que quelque chose s'est mal passé à ce moment et le cd ne se lance donc pas.

Votre graveur a bien "gravé l'image" iso ?

A part vous inviter à recommencer, je ne vois pas.

Modifié le 18 décembre 2010 par pear

[speck41]

Bonjour Pear, je vais recommencer plus tard ou d'ici quelques jours. Je suis sur que l'image s'est gravée en .iso.

Je vous en redonne des nouvelles , merci.

Speck41

 

P S: si on ne se reparles pas bientot, passez de joyeuses fêtes et ammusez vous.

[speck41]

Bonjour Pear, je ne sais pas si ce sera concluant pour toi, mais, j'ai exécuté OTLPEStd.exe en ouvrant le contenu du dvd et en cliquant sur le raccourci. Ensuite je l,ai configuré tel que sur l'image plus haut et y ai collé les commandes en vert sous Custom Scan/Fixes. Et cliqué sur scan. Bien sur au préalabla, j'ai essayé de refaire le DVD à partir d'un autre ordinateur avec le même résultat négatif au redémarrage de l'ordinateur.

 

Il y a le rapport OTL ici:

© CJoint.com, 2010

 

Il y a le rapport des extra ici:

© CJoint.com, 2010

 

Donne moi s'en des nouvelles ... Merci

Speck41

[pear]

Bonjour,

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Windows\System32\drivers\hhelua.sys

C:\Windows\System32\drivers\rbpvlbce.sys

C:\Windows\SysWow64\drivers\hhelua.sys

C:\Windows\SysWow64\drivers\rbpvlbce.sys

C:\Windows\System32\drivers\rbpvlbce.sys

 

 

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

De surprenantes absences de fichiers 64 bits me me rassurent pas.

Sauvegardez vos données si ce n'est déjà fait.

 

Dès les retours Virus Total , je vous donnerai la suite de nos tentatives.