Démarrage de Windows buggé a la suite d'un vi

matthias -  
 james -
Bonjour,

J'ai un PC portable qui fonctionne avec Windows XP, et il m'est arrivé une tuile. Je surfais sur le net, quand Avast (oui je sais, c'est nul comme FireWall, mais j'ai que ca) c'est mis a me m'afficher des messages d'infection de Virus a la chaine. Il m'a donné une tonne de fichier qui était d'apres lui contaminé. Donc a chaque fois qu'il me demandait (c'est a dire toutes les trois secondes), je demandais a mettre le fichier en quarantaine. Le probleme, c'est que je pense que c'étaient des fichiers nécessaires au démarrage de Windows car depuis, je ne peux plus démarrer mon PC. Windows démarre, mais finit par ne plus repondre au bout de quelques instants. La barre de Tache est la première qui ne repond plus, meme si j'ai acces a mon bureau. Cependant, si j'essaie d'ouvrir un programme ou l'explorateur Windows, ca commence a buggé, puis plus rien ne repond. Je n'arrive pas non plus a ouvrir le gestionnaire de tache.

SVP, je suis pas tres doué en informatique, et je commence a me demander si je n'ai pas foutu mon PC en l'air... Pouvez vous m'aidez s'il vous plait ??

Merci d'avance,

Matthias

32 réponses

  • 1
  • 2
  1. matthias
     
    Merci, je vais regarder ca, et je vous donne l'evolution des choses !
    0
  2. James
     
    bonjour,

    Apparemment, le PC est simplement infecté.

    Pour un peu plus d'aisance, pour produire le diag. qui suit..
    * Redémarrer le PC en mode sans échec avec prise en charge du réseau.
    Ce mode donnant accés à Internet. Laissez la connexion que brièvement ouverte.

    Produisez un diagnostique complet du PC.
    Téléchargez sur votre bureau ZHPDiag de Nicolas Coolman.
    * Lancer l'installation de ZHPDiag.exe,
    >> Ne modifiez pas les paramètres
    >> Après l'installation, ZHPDiag devrait s'ouvrir ..ou faites le,

    En haut à gauche ;
    * Cliquer sur la LOUPE ..pour créer le rapport.
    >> Attendez que le rapport soit complété,
    * Cliquer sur la DISQUETTE et sauvegarder le rapport,

    Au lieu de postez ce rapport "très volumineux" direct sur le forum.
    * Utilisez l'hébergeur Cjoint
    * Appuyez sur [Parcourrir] et aller chercher le rapport .txt
    * Ensuite appuyer sur [Créer le lien Cjoint].
    >> Une adresse http//...... (bleu, mauve) sera créé.
    Postez le lien http//..... contenant le rapport).
    _________________________________________

    Postez également le rapport de l'Antivirus.
    0
  3. ekim55 Messages postés 86278 Date d'inscription   Statut Modérateur Dernière intervention   14 682
     
    Bonjour,
    Restaure tout ce qu'il a mis en quarantaine, redémarre et vois si ca fonctionne. Si oui, reposte dans le forum virus/sécurité pour une désinfection.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. matthias
     
    Merci de vos reponses

    @James : Je n'arrive pas a me connecté a Internet avec le mode sans echec :$

    @Ekim55 : Je n'ai acces au bureau, et encore, des que j'ouvre un programme, l'ordi ne repond pas, donc impossible de restaurer quoique ca soit...
    0
  6. ekim55 Messages postés 86278 Date d'inscription   Statut Modérateur Dernière intervention   14 682
     
    Essaie de le faire en mode sans échec.
    0
  7. James
     
    ..

    Bah, télécharger ZHPDiag depuis le PC que vous utilisez pour communiquer.
    Transférez ZHPDiag (CD, support USB..) sur le PC problème qui roule en "Mode sans échec". Suivez la procédure de ZHPDiag pour produire le rapport.
    * Et transférer/poster ce rapport.

    Avec ça je serai en mesure de désinfecter et remettre le PC en état !

    * Ajouter à ça le rapport de suppressions d'Avast.
    0
  8. matthias
     
    Le rapport de ZHPDiag :

    http://www.cjoint.com/confirm.php?cjoint=fgviQoapac

    Le rapport d'Avast : Je chercher ou l'obtenir... Je reposte quand j'ai trouvé!
    0
  9. matthias
     
    J'ai lancé un Scan par Avast en mode sans echec et je vous donne le scan, c'est bien cela?

    Pour info, j'avais réussi je ne sais comment a faie un scan sur le windows normalement lancé
    Il avait parlé de deux fichiers systeme contaminé par le virus " win32: Qandr [Rtk] "

    C:\System Volume Information\_restore{EC32EEDC-DC96-46CA-AA50-89BE3219565A}\A0036950.sys

    C:\System Volume Information\_restore{EC32EEDC-DC96-46CA-AA50-89BE3219565A}\A0036951.sys

    Je ne sais pas si ca peux vous aidez, mais on ne sait jamais!
    0
  10. James
     
    ..

    Si ce n'est la toutes les suppressions faites par Avast.
    Ça ne touche que les points de restaurations du système.

    Il y aurait eu problème, que si vous aviez essayer de restaurer sur un point de restauration. Ce que l'ont ne doit jamais faire en cas d'infection.
    ___________________________________________

    Double cliquez sur l'icône ZHPFix.exe du Bureau.
    * Cliquez sur le bouton [H].
    * Copiez/collez les lignes suivantes dans la fenêtres de ZHPFix,
    * Cliquez sur [OK]
    * Cliquez sur [Tous] et sur [Nettoyer],

    O20 - Winlogon Notify: PermissionResearch . (.TMRG, Inc. - PermissionResearch.) -- C:\Program Files\PermissionResearch\prls.dll    
    O47 - AAKE:Key Export SP - "C:\WINDOWS\Temp\~os5.tmp\prmrsr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\Temp\~os5.tmp\prmrsr.exe    
    O47 - AAKE:Key Export SP - "C:\WINDOWS\Temp\~os7.tmp\prmrsr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\Temp\~os7.tmp\prmrsr.exe    
    O47 - AAKE:Key Export SP - "C:\WINDOWS\Temp\~os4.tmp\prmrsr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\WINDOWS\Temp\~os4.tmp\prmrsr.exe    
    O47 - AAKE:Key Export SP - "c:\program files\permissionresearch\prmrsr.exe" [Enabled] .(.TMRG, Inc. - PermissionResearch.) (.not file.) -- c:\program files\permissionresearch\prmrsr.exe 


    ► S'il vous est proposé de redémarrer le PC, faites le
    ► Copiez/collez le rapport dans votre prochaine réponse.

    _________________________________________________________

    Télécharger sur le bureau mbr.exe

    /|\ Désactiver tous les programmes de protection (antivirus etc.) /|\

    * Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.

    >> Un rapport sera généré mbr.log,
    Postez le rapport.

    Ce message indique qu'aucune infection n'est détectée.
    Stealth MBR rootkit detector 0.2.4
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    S'il y a infection, ce message apparaîtra.
    Stealth MBR rootkit detector 0.2.4
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    MBR rootkit code detected ! <<<<<<<<<<<<<<<<<<<<<<<<
    malicious code @ sector 0x365340 size 0x1e8 ! <<<<<<<<<<<<<<
    copy of MBR has been found in sector 62 ! <<<<<<<<<<<<<<<<
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. <<<<<<
    0
  11. matthias
     
    rapport de ZHPFix :

    http://cjoint.com/data/fgxgJb6Z7T.htm

    Je fais la deuxieme manip et je poste

    Eh bien, je ne sais pas ou desactivé Avast, en temps normal, je peux désactivé la protection residentielle a l'aide de l'icone dans la barre de tache, mais en mode sans echec, je n'arrive qu'a ouvrir le Avast qui scan mon PC

    Si je lance mbr, une fenetre noire s'oure, mais ne se referme pas, et elle m'affiche les premieres lignes :

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Elle ne se referme pas
    Un rapport est tout de meme crée avec ces meme lignes dedans.
    0
  12. James
     
    ..

    Aller supprimer le répertoire : C:\Program Files\PermissionResearch
    _____________________________________________

    Changer la version 4.8 d'Avast(obsolète et inefficace ) pour la version 5 !

    * Téléchargez ; Avast 5 - tutoriel
    * Désinstaller Avast 4.8 et compléter sa désinstallation avec >> ceci <<.
    * Et installer la version 5.
    _____________________________________________

    Pour faire un peu d'espace sur le disque.

    Purgez tout les points de restauration du système.
    Lorsque les antivirus commencent à désinfectés dans ce coin la. Les autre points aux alentours deviennent fréquemment erratiques/dysfonctionnels.

    * Désactiver et réactiver la restauration du système.

    Un nouveau point devrait être créé lors de la réactivation. Vérifier ça.
    ____________________________________________

    Aussi..

    En supprimant tout les désinstallateurs.. des mises à jours de Windows.
    Cela pourrait récupérer de 1à2Go !

    IMPORTANT : Ne touchez pas à ce répertoire C:\Windows\$hf_mig$

    Pour les m-à-j très récentes. Au cas ou vous auriez besoin de désinstaller une mises à jours qui ne fonctionne pas correctement. Vérifier par leurs dates(dans C:\Windows\$Nt..), et gardez "durant 1 ou 2 jours" les répertoires des désinstallateurs les plus récents.
    Après avoir constater que ces m-à-j récentes fonctionnent bien, vous pourrez les zapper aussi.
    * Supprimer tout les répertoires (sauf ceux qui date de moins de 24hres) :
    C:\windows\$NtServicePAckUninstall.............$
    C:\windows\$NtUninstallKB.............$

    Si vous n'êtes pas certain, quelles m-à-j supprimée.
    * Aller dans Démarrer -> Tout les programmes -> Accessoires .. 
    * Ouvrez l'invité de commandes, 
    * Copier/coller(par un clic-droit) les /gras>commandes suivantes</gras> et valider pour chacune :  
    
    dir /a /o:d C:\windows\$* > RapMAJ.txt 
    start notepad RapMAJ.txt  
    
    >> Postez le rapport "RapMAJ.txt"  qui va s'ouvrir à l'écran.. 
    Et attendez pour la suite, que je vous répondes.


    Pour la suite, compléter avec ça ..
    * Ouvrer le Bloc-note dans le Menu Démarrer --> Tout les programmes --> Accessoire,
    * Copier/ coller le contenu de la Citation suivante dans le Bloc-Note,
    * Sauvegarder le Bloc-Note sous Mod_MAJ.Bat(sur le bureau)
    * Double-cliquer sur le fichierMod_MAJ.Bat
    net stop wuauserv 
    del /F /Q /A C:\Windows\SoftwareDistribution\DataStore\Logs\*.* 
    del /F /Q /A C:\Windows\SoftwareDistribution\DataStore\DataStore.edb 
    Rmdir /S /Q C:\Windows\SoftwareDistribution\Download 
    MkDir C:\Windows\SoftwareDistribution\Download 
    net start wuauserv 

    _________________________________________________________

    CCleaner version Slim : Téléchargement - & - Tutoriel.
    * Installer et lancer CCleaner,
    * Décochez la mise à jour automatique,
    *.Lancez Ccleaner avec l'icône créé sur le bureau,

    * Cliquez sur "Option" et -> "Avancé" et Décochez -> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,

    * Sélectionnez "Nettoyeur" et cliquez sur -> "Windows", allez à la section "Avancé",
    * Et Cochez uniquement la première case "Vieilles données du prefetch",

    * Sélectionnez le bouton [Analyse].., lorsque complété,
    * Cliquer sur [Nettoyage], jusqu'à ce que la fenêtre soit vide.

    Lorsque ce nettoyage est complété.
    Remettre les options standard, pour une utilisation au quotidien.
    * Allez Recocher dans les Options -> Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
    * Et Décocher "Vieilles données du prefetch" dans Nettoyeur -> Windows
    0
  13. matthias
     
    oula, j'ai du boulot :D

    Par contre, je ne sais pas purger les points de restaurations, y a t il un tuto pour ca?

    P.S : Je ne peux pas supprimer PermissionResearch. L'acces est refusé :

    Connot delete prxg.dll: Acess is denied.

    Make sure the disk is not full or write-protected and that the file is currently in use.
    0
  14. matthias
     
    Le rapport de RapMAJ (je ne sais pas quoi supprimer dans les MAJ windows):

    http://cjoint.com/data/fhamjajO8B.htm
    0
  15. James
     
    ..

    Essayer d'aller supprimer ..\PermissionResearch\ en "Mode sans échec".

    _______________________________________

    ne sais pas purger les points de restaurations, y a t il un tuto pour ca?

    Au message précédent..
    Il y an tuto accessible en cliquant sur le texte en bleu -> restauration du système
    Tout texte en bleu est lien qui ouvre sur une page Web.
    0
  16. ekim55 Messages postés 86278 Date d'inscription   Statut Modérateur Dernière intervention   14 682
     
    Pour supprimer les points de restauration, ouvre CCleaner, dans outils, restauration du système, tu peux les supprimer.
    0
  17. matthias
     
    Suppression réussie

    Par contre, je rencontre un nouveau probleme avec aswclear :

    C:\Documents and Settings\ [...] \aswclear.exe is not a valid Win32 application

    Je sais, je suis coriace, je suis désolé! :$

    P.S : Autre chose : je ne peux pas restaurer le systeme en mode sans echec u__u
    Je vais essayer en mode normal
    0
  18. James
     
    ..

    Possiblement en utilisant CCleaner proposé par ekim55 ?!

    Ou "toujours" avec l'invité de commandes, après avoir consulté RapMAJ, avec ces commandes :
    del /a /q $Nt*
    del /a /q $MSI*


    Et ensuite continuer ..avec la suite, soit :
    Pour la suite, compléter avec ça ..
    Où il y a un fichier de commandes à créer : Mod_MAJ.Bat
    0
  19. James
     
    ..

    je rencontre un nouveau probleme avec aswclear

    Bah.. une simple désinstallation conventionnelle sera suffisante.
    ______________________________________________

    P.S : Autre chose : je ne peux pas restaurer le systeme en mode sans echec u__u
    Je vais essayer en mode normal


    Oh la, minute la.
    Si vous lancer le point de restauration qui a été créé juste avant les suppressions des m-à-j, vous aller les possiblement les restaurer.

    Si vous voulez tester la restauration.
    - alors créer un points à l'instant.
    - restaurer sur le points précédent (créer à la purge des m-à-j)
    - et restaurer à nouveau sur le point créé à "l'instant"
    0
  20. matthias
     
    Pour l'instant, aucune MAJ Windows n'a encore ete supprimé. Je ne sais pa ou les trouver, et je ne sais pas lesquelles supprimer.

    Je vous ai posté le rapport de RapMAJ

    http://cjoint.com/data/fhamjajO8B.htm

    Et... Je n'ai pas bien saisi ce que vous expliquez dans les deux postes précédents... :$

    Pour l'instant, voila ou j'en suis (en suivant votre poste 12):

    J'ai supprimé le dossier PermissionReaserch
    J'ai installé la version 5.0 de Avast
    J'ai purgé les points de restaurations de mon systeme (desactivation puis reactivation)
    Je n'ai pas supprimé de mises a jour Windows (je n'ai pas compris quoi faire?), ni rien fait avec Mod_MAJ.Bat
    J'ai telechargé CCleaner et l'ai fait tourner

    Que doit-je faire a présent, car je ne peux toujours pas faire fonctionner Windows correctement? J'ai remarqué qu'apres le démarrage de Windows en mode normal, je ne peut rien faire pendant environ 15 minutes (ou du mois le peu de choses que j'ai décrites dans mon premier poste) puis que windows fonctionnait a peu pres correctement, mise a part qu'il ne detecte pas ma clé USB, et que je ne peux pas remettre le son que j'avais coupé (étonnant d'ailleurs...)

    Je vous remercie par avance de votre patience,

    Matthias
    0
    1. karirovax Messages postés 3584 Statut Membre 215
       
      Re, bonjours

      si vous faites ce je te dit , le prb est 100% résolu sans plusieurs manip !!!
      0
    2. James
       
      karirovax,

      Le secteur de boot n'est pas en cause.
      Et réparer Windows ne règlerait pas le problème, puisque l'infection est dans le MBR, ce qui n'a pas rapport au système de fichier de Windows.

      Même qu'il n'est pas recommandé de Réparer un PC infecté.
      S'il s'agit d'une infection le moindrement coriace, l'infection reviendra.
      0
    3. karirovax Messages postés 3584 Statut Membre 215
       
      James,

      mais si on supprime le fichier ntdetect.com et ntldr et en remplacant avec les même existant dans le CD ... boooom le prb est résolé 100%
      car avec cette méthode j'ai réglé un prb ( par un virus qui ma touche le MBR ) et voilà tout est en bonne
      0
    4. James
       
      karirovax a écrit;
      mais si on supprime le fichier ntdetect.com et ntldr et en remplacant avec les même existant dans le CD .........car avec cette méthode j'ai réglé un prb ( par un virus qui ma touche le MBR )

      Le secteur de Boot et le MBR sont 2 chose différentes et pour cause, il sont gérés différemment;
      FixBoot ; Copies de nouveaux fichiers NTDETECT.com et NTLDR sur le C:\.., nécessaire au démarrage de Windows.
      FixMBR ; qui répare le MBR. Le MBR n'est pas sur le C:\.. et ne contient pas de fichiers. Que du code et paramètres..
      0
    5. karirovax Messages postés 3584 Statut Membre 215
       
      Le fixboot il regle seulement la piste de démarrage ( exactement le fichier boot.ini et pas le ntldr )
      mais laissez le essaye cette méthode et ensuite je croix que le prb est doit régler.
      peut être aprés la méthode qui lui a suivé ... ceci ne regle pas a 100% mais c mieux que rien ;)
      0
  • 1
  • 2