Bonjour,
 
Tout d'abord merci de prendre un peu de temps pour me lire. Veuillez excuser la syntaxe des liens internet, je n'ai pas d'expérience dans leur insertion.
 
Je travaille sous Windows 7 – Edition familiale Premium.
Depuis une quinzaine de jours, principalement lorsque je suis avec IE (Version :8), j’ai des tentatives d’intrusion bloquées par Norton 360 (Version 3). Voici, en format .pdf, le type de message, suivre le lien.  
                                                      http://www.cijoint.fr/cjlink.php?f [...] O6QL8k.pdf
 
Avec IE, cela se produit très souvent, parfois toutes les minutes. J’ai quelquefois, l’ouverture intempestive de fenêtres me dirigeant vers des sites de jeux, de rencontres … En dehors de l’utilisation d’IE, il arrive aussi, mais plus rarement que je rencontre ce type de tentative d’intrusion. Enfin, il arrive également qu’un logiciel ne puisse plus se lancer (alors qu’il se lançait parfaitement la minute d’avant), ou que l’arrêt (ou le démarrage) de Windows se bloque ; seul un « reset » permet de relancer Windows afin de l’arrêter ou de l’ouvrir normalement.
 
J’ai procédé aux actions suivantes :
                 - Analyse complète Norton 360 V 3.8 :  
                            Rien de détecté.
                 - Analyse en ligne depuis le site Symantec :  
                            Rien de détecté.
                 - CCleaner V 2.31.1153 : Nettoyage de Windows, Application et registre :  
                            Rien à signaler de particulier.
                 - MBAM – Base du 8 mai 2010 : Examen complet sur les disques comprenant Windows et les applications.
                            Aucun élément nuisible n’a été détecté. Pour voir le rapport suivre le lien.  
 
                                                         http://www.cijoint.fr/cjlink.php?f [...] GfxYZA.txt
 
                 - Spybot V 1.6.2.46 : Vérifier tout.
                            Félicitation, aucun mouchard n’a été trouvé. Pas de rapport édité.
                            MAIS, une analyse il y a une semaine avait trouvé ceci (Format .pdf). Suivre le lien suivant.
 
                                                         http://www.cijoint.fr/cjlink.php?f [...] Ki6ULK.pdf
 
 
Toutes ces analyses ont été effectuées avec Windows lancé en mode normal et l’ordinateur connecté au réseau domestique et Internet.
 
Pouvez-vous m’aider à résoudre ce problème ?
Par avance merci.
 
Dan38
 
P.P. : Dites-moi si, pour d’éventuelles manipulations, je dois déconnecter l’ordinateur du réseau et d’Internet. Je dispose, pour communiquer, d’une autre machine. Si je dois télécharger des modules ou logiciels d’analyse, puis-je les placer sur une clé USB afin de les lancer sur l’ordinateur infecté depuis celle-ci ?

Bonsoir
 
tu es certainement victime d'une "Backdoor" accompagnée d'un rootkit TDSS qui a patché des fichiers sytèmes (drivers)
 
nous allons commencer par faire une analyse complète de ton système,car j'ai besoin de renseignements supplémentaires
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

yes rootkit et n16fa53.com je parie pour 3.273 http://www.esagelab.com/files/tdss_remover_latest.rar ça partira avec ça

 
possible mais pas si sûr
un cas similaire  http://forum.hardware.fr/hfr/Windo [...] 6669_1.htm
 
/!\ ne pas se servir des mêmes script ils sont personalisés/!\  

ok mais c'est un tdss, 3.273 ou pas donc un remover tdss ça doit faire l'affaire

malheureusement les dernières variantes sont assez coriaces et resistent aux Tdss remover et Tdss killer,nous verrons bien...  
bonne nuit

Bonjour glops31,
 
Merci de m'aider.
Voici le lien amenant au rapport ZHPDiag.
                             http://www.cijoint.fr/cjlink.php?f [...] 3RRn8X.txt
 
Dan38

J'aurai bien aimé qu'il télécharge le tdss remover pour voir, j'aime bien avoir raison

bonjour
 
nous allons tout d'abord virer l'Adware Eorezo dont il reste des traces :
 
 

• Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)      
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.

•   /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\  

• Double clique sur le fichier 'Ad-remover" que tu viens de télécharger.
• Double-clique sur l'icône Ad-remover située sur ton Bureau.
• Sur la page, clique sur le bouton « Nettoyer »
• Confirme l'opération
• Laisse travailler l’outil.
• Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report.
 
    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
 
ensuite nous essaierons les tdss remover et tdsskiller  
et tant mieux si je n'ai pas raison ce qui importe est de dépanner l'ordinateur

Bonjour,
 
Merci à toi aussi zenico3, cependant je ne vais pas suivre plusieurs pistes à la fois. Ce n'est donc pas une question de confiance (Je n'ai pas la compétence pour dire qui pourrait avoir raison) mais je vais suivre les conseils de glops31.
Voici donc le rapport fourni par AD-Remover. (Le scan fut long ... J'ai cru un moment que la machine était "plantée" ).
                                                 http://www.cijoint.fr/cjlink.php?f [...] rmwEig.txt
 
Merci encore, j'attends tes propositions d'intervention.
 
Dan38

Ah mais y'a pas de souci, c'est pas un concours, le but du jeu est que ça fonctionne et glops31 t'as donné la soluce.

ok ,Adremover a fait son boulot,donc c'est parti pour tdss remover
 
d'abord tu vas désactiver l'UAC de Win7 en suivant ce tutoriel
 
ensuite:
 

• Télécharge TDSS Remover sur ton bureau

• désactive tous tes logiciels de protection(antivirus et antispyware

• Crée un "nouveau dossier" sur ton bureau puis Décompresse l'archive téléchargé dedans dedans

• Lance le programme en cliquant sur Remover.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

• Coche les et clique sur "Delete/Repair Selected".

• Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage => appuie sur YES

Bonsoir (ou bonne nuit ...),
 
Voilà effectuées les manips demandées. Tout n'a pas été simple : Au lancement de TDSS remover, 3 reboots ont été nécessaires (avec re-lancement manuel du logiciel) avant d'obtenir le fenêtre du logiciel et le scan. 1 objet a été trouvé :
 
                                    Rootkit.win32.TDSS.y dans C:\windows\system32\drivers\rdyboost.sys
 
J'ai coché cet objet et cliqué sur "Delete/Repair Selected". Le logiciel m'a demandé le CD de Windows 7 pour ouvrir le fichier "install.wim", ce que j'ai fait. Il y a eu un dernier reboot.
Depuis quelques minutes (alors que j'utilise IE pour écrire) je n'ai pas de message de Norton m'annonçant le blocage d'une tentative d'intrusion ...
 
Que dois-je faire maintenant ?
A plus tard et merci.
 
Dan38

que tu n'ais plus d'alerte est une excellente chose, surveille le comportement de ton ordi ,et notamment l'utilisation de l'UC et de la mémoire par les processus
 
bien vu zenico3 !
 
pour confirmer le "shoot" du rootkit nous pouvons faire un rapport "gmer"
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  

par contre je ne le regarderais que demain
 
Bonne nuit !

Bonjour,
 
Tu trouveras ci-après le lien vers le rapport gmer (Remarque : ce rapport était en ".log", or le site "ci-joint.fr" n'accepte pas les fichiers ".log". J'ai donc renommé le fichier en ".txt", ce qui n'empêche pas sa lecture).
                                      http://www.cijoint.fr/cjlink.php?f [...] 9N2PdA.txt
 
Qu'en penses-tu ?
Merci.
 
Dan38

ok,si tu n'as toujours plus d'alerte fais ceci pour finaliser la désinfection
 

• Télécharges  HijackThis :http://www.trendsecure.com/portal/ [...] nstall.exe sur ton bureau  
• Installes le programme
• lances HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)  
• Cliques sur "Do a system scan and save a logfile"
• le bloc-notes va s'ouvrir, héberge le rapport sur cijoint.fr et poste le lien fourni dans ta prochaine réponse.

Bonjour,
 
Voici donc le rapport Hijack This (Il me parrait bien court par rapport à ceux que je trouve généralement dans les forums ... Cela doit être normal).
 
                                         http://www.cijoint.fr/cjlink.php?f [...] Eu3c4h.txt
 
Quant à l'utilisation du processeur et de la mémoire, tout semble normal et les pourcentages donnés sont bons.
 
A plus tard
 
Dan38

très bien, je te poste la finalisation de cette désinfection dès que possible
il s'agira de mises à jour,d'optimisation et sécurisation  
en attendant évite toute restauration système pour ne pas remettre l'infection
Bonne soirée

Bonsoir,
 
Très bonne nouvelle. J'attends tes conseils.
Merci et bonne nuit !
 
Dan38

 
Waouh, glops31 tu es un têtu (dans le bon sens du terme) et un fignoleur empathique    
 
Dan38 si tu veux glops31 se déplace à domicile    

Merci zenico3, glops 31 est certainement tétu, je préfererais dire "obstiné", "méthodique". Il va jusqu'au bout de la tâche qu'il a décidé d'accomplir mais en la matière c'est une belle qualité ne trouves-tu pas ?
Nul besoin de se déplacer, il fait très bien le travail comme cela.
J'espère cependant avoir le moins souvent à user de son temps pour de telles interventions ...
 
Bonne soirée;
 
Dan38

 
pas le temps!!  
 
pour le reste je ne fais qu'appliquer une méthode que des dizaines d'autres appliquent sur d'autres forums et si je tarde un peu parfois c'est que j'interviens aussi sur d'autres forums
 
ça va venir pour le final    

Tu ne fais pas qu'appliquer une méthode, le problème soulevé ici j'ai donné la soluce en 10 mots, dan38 faisait comme j'ai dit et tout fonctionnait correctement et moi je me cassais du truc; toi tu vas au delà avec une prévention et optimisation, c'est du super sav; du coup je pense pas que ce soit ton métier parce que (sauf problème insoluble donc intéressant) quand on perfectionne des systems et réseaux tte la journée ben on veut bien aider sur un forum mais pas aller jusqu'à tout ça.
Je cherche un technicien pour fin octobre et j'attends la suite du topic mais à priori tu es un diamant à polir...
 
Dan38, j'empiète sur ton topic désolé    
 
 

@zenico3
je te certifie que j'applique une méthode ,mes collègues et moi (dont on se moque souvent soit dit en passant)  considérons que la prévention est très importante et bien meilleure protectrice que tous les Antivirus du marché payants ou pas.
effectivement ce n'est pas mon métier ,je suis plus branché "hard" la journée étant électronicien de maintenance je fais du dépannage de cartes et de machines
le plus intéressant de ce loisir car c'en est un, est ce qui ne se voit pas c'est à dire l'analyse des rapports , la recherche des traces de Malwares et la mise en place de la façon de les éradiquer
il y a aussi les échanges entre passionnés et le suivi des infections qui évoluent sans cesse par exemple le Tdss/Tdl3 qui ne part pas toujours avec le remover   la formation est permanente
voilou!

=> pour Dan38
sur ce sujet Il n' y pas grand chose à faire du point de vue des mises à jour, tes logiciels sensibles sont à jour, sauf et c'est important, Java

désinstalle la version 6 update18 et installe la nouvelle version en te rendant sur http://www.java.com/fr/download/ pour télécharger et installer la nouvelle version "6 update 20"
/!\ attention à ne pas installer de barre d'outils "Yahoo" ou "Google" supplémentaires => pour cela décocher la case

tu peux sécuriser davantage ton firefox en lui rajoutant les modules ADblock +:  https://addons.mozilla.org/fr/firef [...] latest.xpi  pour bloquer un maximum de pubs, sources d'infection parfois et WOT  https://addons.mozilla.org/fr/firefox/addon/3456 pour être prévenu sur les dangers de certains sites.
il est aussi souhaitable d'installer WOT pour IE: http://www.mywot.com/fr/download/ie

pas beaucoup d'entrées inutiles à fixer avec hijackthis mis à part quelques activX

=> lance HijackThis
=> clique sur "do a system scan only"
=> coche les cases devant ces lignes :

O4 - HKLM\..\Run: [Net-It Launcher] C:\Windows\system32\NILaunch.exe    => Unknown owner®
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/Driv [...] ab_nvd.cab    
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) - http://fichiers.touslesdrivers.com [...] _0_1_3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)

=> Ensuite  clique sur Fix Checked
=> ferme hijackthis
note: ceci correspond à de l'optimisation ,cela ne désinstalle aucun programme mais empêche qu'ils soient lancés en même temps que Windows au démarrage
seules les lignes en gras doivent être impérativement "fixées".
les activesX lignes 016 seront recréés automatiquement si besoin mon conseil est donc de les supprimer
______________________________________________________________________________

Pour nettoyer le registre et les fichiers temporaires:

• Télécharge et installe  ccleaner :

• Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• un  tutoriel pour t'aider :

• Tu peux conserver ce logiciel et l'utiliser régulièrement.

_____________________________________________________________________________

Il ne faut pas garder les outils qui ont servi pendant la désinfection car ils sont très régulièrement mis à jour pour suivre l'évolution des malwares,pour les désinstaller suis ces indications:

note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.

• Lance ZHPFix en fonction de ton système d'exploitation.
• Clique sur l'icône représentant la lettre =>
• une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
• clique ensuite sur nettoyer
• copie le rapport généré à la fin et héberge le sur:cijoint.fr

_____________________________________________________________________________

pour éviter de ré-infecter l'ordinateur il faut supprimer les anciens points de restauration pour Win7 regarde ici si besoin
_____________________________________________________________________________

L'ordinateur est maintenant débarrassé de tous les malwares ,il faut retenir qu'aucun antivirus ou Antispyware ne le protègera à 100% ,la prudence est de rigueur sur le net ,tu trouveras des information à propos de la sécurité sur internet en lisant ce pdf provenant du site de malekal_morte ,il fait parti d'un projet anti-malware et je t'invite à le diffuser autour de toi.

Tu as certainement réactivé toutes les  protections que nous avions stoppées
 J'attends le rapport de suppression des outils (zhptools) et te souhaite une bonne soirée!

merci aussi à zenico3 pour le coup de main

coup de main de rien mais suis d'accord sur la forme mais pas trop sur le fond...
Je relis, suis pas ok...

Pourquoi une mise à jour java? tu veux changer les api? quid de la protection là? je suis preneur pour une réponse...

mise à jour java
tout simplement à cause des failles présentes dans les anciennes versions
 
http://www.silicon.fr/fr/news/2010 [...] e_zero_day
 
http://www.silicon.fr/fr/news/2010 [...] ay_exploit

Bonjour glops31,
 
Les choses allaient "trop bien" ... Il faut toujours se méfier ! Je pensais m'acheminer vers une fin "tranquille", appliquant sans difficultés les solutions que tu proposais.
 
Certes, et c'est peut-être le plus important (?) je n'ai plus les messages d'alerte qui survenaient systématiquement avant, cependant, en début d'après-midi, alors que mon ordinateur était en veille depuis une bonne heure (IE fermé), j'ai reçu une alerte de Norton concernant une menace classée comme "élévée". J'ai supprimé celle-ci. Voici un lien en ".pdf" qui présente cette menace :
 
                                           http://www.cijoint.fr/cjlink.php?f [...] hbF1sm.pdf
 
Y a-t-il un lien avec le problème précedent ? ... Ou bien est-ce une coincidence (Norton m'affiche de temps en temps (rarement cependant) de tels messages).
 
Ensuite je me suis "attaqué" à Java.
 
Premièrement
 
Désinstallation impossible, ni par l'outil Windows (Panneau config, programmes et fonctionnalités, désintallation) ni avec CCleaner.  
Ceci avec Windows en mode normal ou sans échec. Avec les protections Norton activées ou désactivées.  
A chaque fois j'ai un message d'erreur :
 
                                          erreur interne 2203.
                                          C:\Windows\Installer\.......un nombre aléatoire composé de chiffres et de lettres......ipi,-2147287035
 
J'ai cherché sur Internet des solutions. Sur le site Java il est préconisé des solutions qui amènent toutes au même message. Il est proposé d'installer Windows Installer CleanUp. L'installation se bloque avec le même message d'erreur.
 
 
Deuxièmement
 
J'ai donc supprimé manuellement tous les fichiers et répertoires de : C:\Program Files\Java\ire6 ainsi que C:\Program Files\JRE et j'ai essayé d'installer Java 6 update 20.
Que je tente une installation en ligne ou hors ligne de Java, le résultat est identique : même message d'erreur qu'auparavant.
 
 
Troisièmement
 
J'ai alors essayé de ré-installer Windows Installer ou de le réparer. J'avoue ne pas avoir trouvé de solution qui me parraisse fiable (pour moi) et je ne suis pas allé plus loin.
 
Autant dire que je ne me suis pas "attaqué" à la suite de tes propositions. J'attends ton avis.
 
Pour l'instant, je n'ai, bien sûr plus Java sur l'ordinateur ...
 
Désolé de ce surcroît de travail ...
 
Bonne fin de journée et à bientôt.
 
Dan38

bonjour
 
dans un premier temps pour la détection norton sur Tidserv.inf fais ceci:
 
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note...héberge le rappot sur: cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Bonsoir,
 
J'ai fait une analyse complète (de tous mes lecteurs y compris ceux de stockages), cela a été long mais MBAM (base du 13/05/2010 version 4097) n'a rien trouvé.
je te joins le rapport.
 
                           http://www.cijoint.fr/cjlink.php?f [...] Fz5Vu8.txt
 
Que penses-tu de cela.
 
Dan38

Boujour glps31,
 
Je rajoute une petite information.
J'ai de nouveau effectué ce matin une analyse complète de tout mes disques avec Norton.
Il me retrouve le même :  
 
                                     Backdoor.Tidser!inf
 
En cliquant sur "corriger" de la fenêtre Norton, celui m'annonce : "Tous les risques de sécurité détectés ont été résolus" ...
 
Sur le site Symantec vers lequel je me suis dirigé, il est dit, pour le supprimer de commencer par utiliser la console de restauration Windows et pour cela une procédure est donnée en utilisant le disque d'installation de Windows ...
 
Je relance une analyse sur mes disques système et programmes, nous verrons bien ...
 
J'attends tes conseils avant toute intervention.
 
Merci et bonne journée.
 
Dan38

bonjour
 
il est probable que Norton ait détecté une trace restante de l'infection (peut être dans la restauration sytème?)
si il a pu réparer il ne devrait plus y avoir de souci
 
si tu as de nouveau des alertes ,tu pourras faire une analyse avec "gmer"
 
Tiens moi au courant
 
as tu réussi a installer java?

Re-bonjour,
 
La nouvelle analyse par Norton me redonne les mêmes résultats.
La correction ne pouvant s'éffectuer automatiquement, Norton me demande une action manuelle. En cliquant sur OK, Norton m'affiche qu'il n'y a plus de problème et m'ouvre la page Symantec contenant le processus de suppression (En utilisant la console de restauration etc.). Si je ne fais rien, à la prochaine analyse, j'obtiens les mêmes résultats dans l'analyse.
 
En revanche, je n'ai plus les messages de tentative d'intrusion qui ont motivé ma demande d'aide au départ. Je n'ai donc pas effectué une analyse avec "gmer".
 
Je ne parviens toujours pas à installer Java, que ce soit en ligne ou hors ligne. Je n'ai donc plus Java sur mon ordinateur puisque j'ai supprimé "manuellement" les répertoires concernés ...
 
As-tu une idée pour solutionner ces "problèmes ..." ?
A bientôt.
 
Dan38

est ce que norton te donne le chemin du fichier infecté ou pas?
y a t'il un rapport qui le montre?
 
 

Bonjour à nouveau,
 
Je te donne toutes les indications que j'ai pu trouver sur Norton.
Le fichier joint est en ".pdf". Les deux fenêtres "du bas du document" indiquent en deux parties (début à gauche et fin à droite) le chemin trouvé (il n'y a pas moyen de le copier !).
 
                          http://www.cijoint.fr/cjlink.php?f [...] 5V2xjc.pdf
 
Cela peut-il t'aider ?
 
A plus tard et encore merci.
 
Dan38

moi je donnerais bien la soluce mais je troll...
Tu as un graveur, un cd vierge ou rw?

Bonjour zenico3,
 
Tu comprendras, j'en suis sûr, ma position.
Si tu as LA solution, tu peux imaginer que je suis preneur. J'ai un graveur et des CD, RW, DVD ...
 
Cependant, depuis le début j'ai fais confiance à glops31 et, tout en prenant note de ce que tu écris, j'attends son avis afin d'avoir une continuité dans la recherche. Comme je l'ai déjà écrit, je pense qu'il n'est pas toujours prudent de mener en même temps plusieurs actions différentes qui pourraient (peut-être) se contrecarrer.
 
Merci cependant de toujours suivre mon problème.
 
Dan38

bonjour à tous les deux
le rootkit a certainement patché les copies du fichier "rdyboost.sys" ,c'est ce que détecte Norton
je pense que zenico3 parle de OTLPE en live Cd pour faire une recherche sur les fichiers patchés par le Rootkit avec OTL et ainsi ensuite les supprimer
 
à moins qu'il n'ait une solution plus radicale ?

Bonjour glops31,
 
Petite balade sur Internet, en effet "OTLPE en live Cd" ne me parlait pas vraiment.
 
J'ai téléchargé d'une part "OTLPE" et d'autre part "CD Live Windows : Ultimate Boot CD, version 5.0 Bêta 12 du 13 mars 2009".
Et maintenant, comme dit la chanson : "... que vais-je faire ... ?".
 
Pourtant à côté du "négatif" (Bloqué avec Java en installation et désinstallation, ce que me trouve Norton en analyse et quelquefois, de manière inexpliquée, une difficulté à fermer Windows), le reste tourne presque "comme une horloge". Aucun problème au demarrage ni dans l'utilisation des logiciels. Pas de ralentissement particulier ni d'occupation excessive de la mémoire. Plus de message Norton concernant une tentative d'intrusion. Enfin, j'ai fait l'essai d'installer puis de désinstaller un programme, tout c'est bien passé ...
 
Les "CD Live" dont vous parlez avec zenico3 sont souvent cités en cas de "non démarrage" de Windows ?
 
La solution "plus radicale", je la vois venir ... Tout réinstaller ne me pose pas de souci particulier, mais j'ai déjà tout réinstallé fin octobre avec Windows 7, ... cela ne fait pas si longtemps ... Des journées de travail pas vraiment interessantes (Ca, je sais déjà faire ...).
 
Quelle est ta proposition ?
 
Dan38

voici la manip avec OTL sur le liveCD de OTLPE , il s'agit de déterminer si des copies du fichier "rdyboost.sys"  sont  patchés par le système
le live permet que le Rootkit soit absolument inactif.
 

• Télécharge le fichier OTLPE.iso
• Grave le sur un CD vierge
• Insère le CD dans le lecteur de l'ordinateur infecté et fais redémarrer l'ordinateur en ayant réglé la séquence de boot pour démarrer sur le lecteur CD
• L'ordinateur doit démarrer sur le CD, et tu vas arriver sur un Bureau comme celui-ci
• Clique sur OTLPE puis laisse toi guider
•  Quand OTL sera lancé, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes"
• ajoute cette commande:  %SYSTEMDRIVE%\rdyboost.sys /s /md5  
• clique sur "Run scan" et patiente pendant l'analyse
• A la fin, héberge le rapport OTL.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  

tu as ici un tutoriel pour t'aider
 
mais attends aussi la proposition de zenico3 ,puisqu'il est question graver un CD, il doit aussi penser à un liveCD,   je ne crois pas qu'il pense à un Formatage/réinstallation