Arrêt du PC par "Autorite NT/System"

galorv6 · 20/01/2010 - 16h39

Bonjour, depuis ce matin, 'ai eu droit à 3 arrêts du PC suite à un message dans lequel il m'est indiqué que "Autorite NT/System" est la cause du problème.
De plus, lorsque je veux mettre mon ordinateur en mode veille prolongée, celui-ci m'affiche un écran noir et ne répond pas.
J'appuie alors sur le bouton d'extinction brièvement et il s'éteint (c'est l'action que j'ai configuré lorsque j'appuie sur le bouton).
Autre chose, j'ai l'onglet "Gtk+" > "Theme Selector" qui est apparu dans le panneau "Tous mes programmes" de ma barre des tâches.
Je ne sais pas si c'est lié...
Et enfin, j'ai parfois un onglet internet qui s'ouvre vers une adresse étrange (je ferme la fenêtre rapidement) alors que je n'ai rien demandé.

J'ai donc télécharger et exécuter ATF-Cleaner et j'ai lancé "Rsit".

Je n'ai pas accès (bizarrement) à "gérer mes fichiers" mon joindre les rapport Rsit donc je vous les post par la suite.

Merci d'avance pour votre aide.

galorv6 · 20/01/2010 - 16h46

J'ai vidé l'historique, ce qui m'a permis cette fois-ci de mettre mes pièces jointes.

galorv6 · 21/01/2010 - 07h48

Up!?

**Lyonnais92** · 21/01/2010 - 16h54

Bonjour,

le seul point notable est l'existence de mises à jour de Windows prévues le 3 janvier.

Elles ont été faites ou tu as des MAJ de Windows à faire ?

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

Redémarre en mode sans échec :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.

Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

galorv6 · 21/01/2010 - 18h55

Bonsoir et merci pour votre réponse

J'ai effectivement trouvé d'anciens post qui donnait un lien vers un patch correctif Windows mais à chaque fois que je veux les lancer, ça me dit qu'il y a une version plus récente déjà installé.
Mon ordinateur est à jour, windows update me dis (lorsque je me rend sur leur site) qu'aucune nouvelle mise à jour n'est disponible.

Le logiciel à trouvé 5 infections.
Une qui est liée à un fichier de "patch" anti-activation win XP que j'avais téléchargé il y a bien longtemps pour un vieux PC que j'avais "retapé" (je sais c'est pas légal :S mis c'était pour dépanner).
Deux autre infections dans les fichiers de restauration système et enfin deux autre dans le registre.

Je précise que "Autorite NT/System" viens encore d'apparaître au moment où je vous ai écrit ce message.... donc il est encore présent!

(je lance exécuter puis je tape "shutdown -a" pour stopper le compte à rebours de cette saleté)

**Lyonnais92** · 21/01/2010 - 20h08

Re,

mon canned n'est pas optimisé.

relance MBAM en mode normal (pas en mode sans échec) et choisis "scan rapide".

Poste le nouveau rapport;

@+

galorv6 · 21/01/2010 - 20h55

C'est fait, rien à été trouvé!

Et le message apparaît toujours de temps en temps..

**Lyonnais92** · 21/01/2010 - 21h18

Re,

Fais ce scan en ligne (coche toutes les cases à chaque fois) http://www.eset-nod32.fr/scanner.html
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.tx t

@+

galorv6 · 22/01/2010 - 10h45

"Aucune menace détectée"

Je commence à désespérer....
Le compte à rebours est toujours présent et des pages internet s'ouvre de temps en temps toute seule....

**Lyonnais92** · 22/01/2010 - 10h56

Bonjour,

fais ceci qu'on en voit un peu plus :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la tournevis et, en plus des cases déjà cochées, coche la case devant O65.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

@+

galorv6 · 22/01/2010 - 11h28

Voilà qui est fait

**Lyonnais92** · 22/01/2010 - 12h04

Re,

un fichier suspect :

Rends toi sur ce lien : Virus Total

Clique sur Parcourir
Navigues pour trouver ce fichier (*) :

Code:

C:\WINDOWS\d3dx.dat

Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans un fichier texte
Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK

===

Refais tourner CCleaner pour nettoyer les fichiers temporaires.

@+

galorv6 · 22/01/2010 - 12h14

Voilà

Rien trouvé..

**Lyonnais92** · 22/01/2010 - 22h37

Bonsoir,

est ce que Combofix va voir quelque chose ?

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outil.

@+

galorv6 · 23/01/2010 - 08h09

Combofix a fait quelques trouvailles j'ai l'impression...
Déjà, peu après le lancement, il me dit qu'il a trouvé un "Rootkit" et qu'il doit donc redémarrer.

J'avais déjà repéré ce Rootkit avant hier avec un logiciel Kapersky spécial Rootkit mais celui-ci faisait un freeze à chaque fois qu'il le scannait (c'était "Rootkit.Win32.TDSS.d dans "system32\MsPMSNSV.ddl").

Après redémarrage, ma barre de tâches n'était pas visible donc Antivir s'était lancé et je ne pouvais pas l'arrêter et le scan Combofix à "réveillé" DES Trojan et Antivir m'a mis des messages d'alerte ("DMP3.tmp", "DMP6.tmp", Cheval de Troie, puis "TR/Patched Gen" et "system32\drivers\atapi.sys.vi r") et je les ai déplacés en quarantaine.

J'ai joint le rapport de Combofix.

A vous