Spyware soft, effacement user32.dll plantage Fermé

Question

Bonjour, 

mon pc plante durant l'analyse spy hunter. Puis ecran bleu me disant que user32.dll est introuvable et redémarrages incessants. j'ai trouvé la parade pour copier le fichier user32.dd caché et le pc se lance normalement.

Cependant, le spyware est tjs présent lorsque je lance spy hunter, il me dit que plus de 1000 ficheirs sont contaminés, mais ne va pas jusqu'au bout et se bloque... Ensuite ecran bleue, user32 manquant et redémarrage...

j'ai donc supprimé spy hunter et j'essaye avec MBAM....

Pourriez=vous m'expliquer le probleme? et cmt me débarasser de cet espion? 

Merci bcp

Pierre

Utilisateur anonyme · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

chewou1987 · Answer

Est-ce normal que l'outil se bloque/ ne réponde plus? j'ai essayé plusieurs fois...
Merci

Utilisateur anonyme · Answer

Re

Sous quel OS es tu?
XP; Vista ;Seven

chewou1987 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijjoXqBH1.txt

;-) Ca a marché, par contre le foutu spyware soft refait des siennes... rhaaaaa

Utilisateur anonyme · Answer

Re

Tu n'as pas posté le bon rapport:ZHPDiag.txt

chewou1987 · Answer

Plus rien ne marche guillaume.... Le spy ne me permet plus de rien faire. quand j'essai d'ouvrir un fichier il m'interdit l'acces. J'ai redémarré sans succès

Utilisateur anonyme · Answer

Re

Si tu as réussi une fois à lancer ZHPDiag ;le rapport que je demande est là:

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt.

chewou1987 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cij4F2KGiQ.txt

j'y suis arrivé en le mettant sur clé usb deux min avant que le spy ne commence à faire des siennes. mais j'ai peur de ne rien pouvoir faire de plus étant donné qu'il se met a beuguer deux min apres le démarrage.

MERCI

Utilisateur anonyme · Answer

Re

Redémarre en mode sans echec.

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+

Utilisateur anonyme · Answer

Re

Arrête ton PC.
Patiente une minute et tu le rallumes.

Tiens moi au courant;merci.
@+

Utilisateur anonyme · Answer

re 

essaye le mode sans échec avec prise en charge réseau. 

tiens moi au courant. 
Le problème est 'il survenu à l'issue de ComboFix(pour confirmation)? 

@+ 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

chewou1987 · Answer

Oui, Combofix a demandé a redémarrer car (je ne sais plsu quoi mais il me semble qu'il parlait de Rootkit).

Voilà ce qu'il m'affiche en mode sans echec et sans echec prise en charge reseau
multi(0)disk(0)rdisk(0)partition(2)\windows\system32
toskrnl.exe 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\hal.dll 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\KDCOM.DLL 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\BOOTVID.DLL 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\config\system 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\c_1252.nls 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\c_850.nls 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\l_intl.nls 
multi(0)disk(0)rdisk(0)partition(2)\windows\FONTS\vga850.fon 
multi(0)disk(0)rdisk(0)partition(2)\windows\AppPatch\drvmain.sdb 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\DRIVERS\ACPI.sys 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\DRIVERS\WMILIB.sys 
multi(0)disk(0)rdisk(0)partition(2)\windows\system32\DRIVERS\pci.sys

Utilisateur anonyme · Answer

Re

La console de récupération a t' elle été installée lors de l'installation de ComboFix,

@+

chewou1987 · Answer

Je ne comprends pas ta question? 

J'ai du utiliser la console ce matin car l'ecran etait bleu et il manquait un fichier dll. J'ai suivi les instructions pour retrouver la dll cachée et puis cela marchait correctement. 
Par rapport à Combofix je ne comprends pas... Il a lancé quelque chose parlant de récupération oui, mais après je ne sais pas si il s'agit de ce dont tu parles... :s

Utilisateur anonyme · Answer

Re 

Ok ;essayons 
redémarre ton PC et choisis la console de récupération. 

* Une fois dessus, saisissez les commandes : 
* cd erdnt\subs 
* batch erdnt.con 
* Laisser les opérations s'effectuer puis redémarrer l'ordinateur 

@+ 

On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Utilisateur anonyme · Answer

Ok Passons à ceci: Ce fichier est assez volumineux, on utilisera donc un lecteur CD/DVD et un CD vierge sur ta machine Un Périphérique USB serait pratique également. Si tu ne disposes pas de logiciel de gravure Télécharge et installe https://www.ntfs.com/iso_burner_free.htm afin de graver OTLPE sur un CD. = Installe IsoBurner = Clique sur la case en haut a droite et suivre le chemin afin de sélectionner OTLPE.iso = Clic BURN Télécharge OTLPE ici : http://oldtimer.geekstogo.com/OTLPE.iso Note : Ton CD gravé, tu dois maintenant redémarrer ta machine sur le lecteur CDROM Pour se faire je t'invite à lire ce lien : Booter sur un Cd = Une fois le CD lancé Windows se charge tu arrives sur le bureau REATOGO-X-PE = Double clique sur OTLPE = Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES = Une seconde : Do you wish to load remote user profile(s) for scanning ; Clique sur YES = Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuie sur OK OTL se lance. = Clique sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes = Une fois fini le rapport s'ouvre, utilise l'icône d'Internet explorer pour copier coller son contenu dans la réponse. Note : si tu n'as pas de connexion Internet, sauvegardes le rapport sur un périphérique USB @+

Utilisateur anonyme · Answer

Re

Une question,à partir de quel PC postes tu?

Utilisateur anonyme · Answer

re

Ce lecteur DVD a t' il la fonction de graveur?
Je pense que oui si il s'agit d'un matériel récent.
Donc on avance...

Utilisateur anonyme · Answer

Re

C'est ici

Utilisateur anonyme · Answer

Re

Tu redémarres ton PC avec ce CD gravé.
Ton lecteur de CD doit être en first boot(premier lecteur),de manière à démarrer sur le CD.
ensuite suit le reste du précèdent post.

tiens moi au courant
@+

Utilisateur anonyme · Answer

Re

Je m'explique;si il y a un CD dans ton lecteur de CD au démarrage; ton PC démarre t' il sur ce CD?
@+

Utilisateur anonyme · Answer

Re

Tu démarres ton PC normalement,mais avant le démarrage tu appuies sur la touche te permettant d'accéder au boot .

@+

chewou1987 · Answer

cela ne fonctionne malheureusement pas...

J'ai bien compris la démarche, mais impossible de me deplacer dans le boot
Et je n'ai pas d'autre clavier....

Utilisateur anonyme · Answer

Re

Tu as accès au mode ligne de commande?

Utilisateur anonyme · Answer

Re 

Relance OTL.exe 

Copie ce texte en gras : 
 
:OTL 
IE - HKU\Virginie_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)    
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
O3 - HKU\Virginie_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     

:Files 
C:\WINDOWS	asks\Scheduled Update for Ask Toolbar.job     
C:\Documents and Settings\Virginie\Mes documents\Doc1.docx 

  
= Coller le texte dans la partie Custom Scans/Files 
= Clique sur Run Fix en haut de la fenêtre  
= Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file; cliquer surYES
= Coller le contenu du rapport dans la réponse 

Note : La rapport se trouve dansC:\OTL

Vérifie si ta machine redémarre et que tu as accès au bureau. 

@+ 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Utilisateur anonyme · Answer

Re

J'espère ne pas comprendre ce que je crois;
nous traitons bien le PC Infecté?
Tout ce que je t'ai demandé ,tu l'as exécuté sur le PC infecté?

@+

chewou1987 · Answer

Il me semblait bien... Depuis tout à l'heure je m'occupe de faire ces différentes démarches sur mon pc fixe qui fonctionne...

Je ne vois pas comment j'aurais pu arriver à lancer le cd sur un netbook... A partir du moment ou il n'y a pas de lecteur cd/DVD...

Je m'excuse pour cette incomprehension. En réalité je commenec à comprendre le mécanisme.. mais il aurait fallu effectuer cela sur ma clé usb plutot que sur un dvd , non?

y a t'il moyen de booter ma clé?

Utilisateur anonyme · Answer

Re

Commençons par nettoyer ce PC.

Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles 

 ---> Télécharge Toolscleaner  sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Ensuite à l'aide d'une clé Usb ; tu installes et procèdes sur le PC infecté;et pour poster tu copies les différents rapports sur la clé...

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

Re 

Démarre t' il en mode sans echec avec prise en charge réseau(le PC infecté)? 


On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

chewou1987 · Answer

Non aucun mode ne le fait démarrer... c'est justement le probleme....
il s'arrete au bout de quelque lignes cfr poste précédent

Utilisateur anonyme · Answer

Re

Donc tu procèdes  à la manipulation avec OTLPE.

Poste moi ce rapport ;merci
@+

Spyware soft, effacement user32.dll plantage

31 réponses

Discussions similaires