Virus, explorer bloqué Résolu/Fermé

Question

Bonjour, Hier, je surfais et je suis tombé sur un site, qui m'a ouvert une pub, celle-ci a été bloqué par Chrome et Avast a bloqué une infection. Je me suis dit rien de grave.    

Aujourd'hui je redemmarre, chargement normal mais après avoir ouvert la session, ecran noir avec la souris. Je lance le gestionnaire des tâches, il s'ouvre, je vois quasiment aucun processus et deux fois Explorer.exe    

Je les ferme tous les deux, et je le relance, et là le bureau apparait normalement.     

Après le lancement de explorer, Alerte avast : ntuser.dat bloqué.    

Si quelqu'un veut bien prendre mon cas.    

Le startup de CCleaner me parait bizarre ( la premiere ligne que je n'avait pas avant ):   

Oui HKCU:Run mssend "C:\Users\XXXXXX\AppData\Roaming\xssend2\svcnost.exe"   
Non HKCU:Run EA Core C:\Program Files\Electronic Arts\EADM\Core.exe -silent   
Non HKCU:Run KiesTrayAgent C:\Program Files\Samsung\Kies\KiesTrayAgent.exe   
Non HKCU:Run Steam "C:\Program Files\Steam\Steam.exe" -silent   
Oui HKLM:Run PressePapier    
Oui HKLM:Run QlbCtrl.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start   
Oui HKLM:Run SynTPEnh %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe   
Oui HKLM:Run avast5 "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui   
Non HKLM:Run Microsoft Default Manager "C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume   
Non HKLM:Run PDF Complete C:\Program Files\PDF Complete\pdfsty.exe   
Non HKLM:Run SysTrayApp C:\Program Files\IDT\WDM\sttray.exe   
Non HKLM:Run WirelessAssistant C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe   
Oui Startup Common Bluetooth.lnk C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe   
   

J'ai aussi, une application Java qui essaye régulièrement de se lancer, que je refuse. 


Merci d'avance.    



Configuration: HP Compaq 615    ///    HP WorkStation XW 4200  /// Samsung Galaxy Teos    

Windows 7 | Kubuntu 10.04    ///    Windows XP Pro | Ubuntu 10.10 /// Android 2.1 ( Eclair )    
ATI MRadeon HD3200 896 Mo    ///    Sapphire Radeon HD 5770 1Go /// -    
AMD Athlon x2 Q-L66 2.20Ghz x2    ///    Intel Pentium 4 HT 2x 3.6GHz /// 667 Mhz    
2Go RAM DDR2    ///    2Go RAM DDR2 /// 256 RAM | 512 ROM    



....................Pourquoi faire simple quand on peut faire compliqué ?....................    
....................................Un merci n'est jamais de trop ;)....................................

Utilisateur anonyme · Answer

bonjours,

pour une analyse de ton système, fais ceci:

                              ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

>  Télécharge zhpdiag (de Nicolas Coolman)

> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

> Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

>attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

>  Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.
  

@++

Jessdu31 · Answer

Bonjour,

Vous avez bel et bien attrapé un virus qui c'est probablement logé dans ntuser.dat car c'est un fichier non sécurisé par Windows et qui appartient au registre or si vous veniez a supprimer ntuser.dat vous pourrez surement réintaller windows car c'est un fichier vital a  windows voila 

la seule solution : la restauration :)

Kingzak34 · Answer

Voici ( enfin ) le lien du ZHPDIAG :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijen8uqh0.txt

Utilisateur anonyme · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Kingzak34 · Answer

Bon j'ai essayé trois fois Combofix, BSOD après le premier chargement ( La barre avec marqué Combofix.

Deux sans message et un avec IRQL NOT LESS OR EQUAL ( Lecteur CD ?? )

Utilisateur anonyme · Answer

1/ as-tu bien penser a renommer combofix? 

2/ si ca ne marche vraiment pas, essaye de passe par le mode sans echc dans ce cas.
tiens moi au courant.

Kingzak34 · Answer

Désinstallation de Daemon Tool et tout marche ( Le IRQL NOT LESS OR EQUAL m'a fait Tilt. ) 

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijSTTgJKP.txt 

....................Pourquoi faire simple quand on peut faire compliqué ?.................... 
....................................Un merci n'est jamais de trop ;)....................................

Utilisateur anonyme · Answer

allez, fais moi un zhpdiag stp.

Kingzak34 · Answer

Que voici : http://www.cijoint.fr/cjlink.php?file=cj201012/cij356ToAg.txt

Utilisateur anonyme · Answer

tu as encore un petit adware donc:

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ...   

                                      ----->AD-REMOVER<-----  

> Télécharge ad-remover(de C_XX) sur ton Bureau  

>Déconnecte toi et ferme toutes les applications en cours   

> Double-clique sur l'icône AD-Remover  

> Au menu principal, clique sur "nettoyer"  

> Confirme le lancement de l'analyse et laisse l'outil travailler  

> Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt)

après ad-remover:

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections: 

MBAM :  

> Télécharge MBAM  


> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.  


> Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\   


> A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»  


> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"  


> L'analyse peut durer un plusieurs heures...  


> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"  


> Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"  


> Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »

Kingzak34 · Answer

Rapport AD-R : http://www.cijoint.fr/cjlink.php?file=cj201012/cijoQSAU9d.txt 

MBAM : http://www.cijoint.fr/cjlink.php?file=cj201012/cijLUv9RjU.txt

....................Pourquoi faire simple quand on peut faire compliqué ?.................... 
....................................Un merci n'est jamais de trop ;)....................................

Utilisateur anonyme · Answer

ok, laisse MBAM travailler ensuite, poste moi le rapport et télécharge ceci
tu as des millions de restes de mcafric sur ton pc...

Utilisateur anonyme · Answer

ok, on y vas, prêt a faire ta prière? ^^

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la présence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Kingzak34 · Answer

Pas de lignes rouges, scan arrêté sans raison.

Le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cijDE5V54Y.txt  

....................Pourquoi faire simple quand on peut faire compliqué ?....................  
....................................Un merci n'est jamais de trop ;)....................................

Kingzak34 · Answer

Deuxième Rapport GMER :http://www.cijoint.fr/cjlink.php?file=cj201012/cijqvguncp.txt

Utilisateur anonyme · Answer

&#9654 Télécharge TDSSKiller

&#9654 Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:	dsskiller.txt.

Kingzak34 · Answer

Le rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cij3xvw2jr.txt

Utilisateur anonyme · Answer

ok, relance TDSSkiller qui normalement ne doit plus rien trouver

Kingzak34 · Answer

Le dernier rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cij3ffid1z.zip

Virus, explorer bloqué

19 réponses

Discussions similaires