virus... Résolu/Fermé

Question

Bonjour, 
voila j'ai vu sur le forum que de nombreuses personnes étaient touchées par le message warning your computer is infected avec en fond l'écran bleu. et bien aujourd'hui cela vient d'apparaitre et je ne sais pas quoi faire sachant que je ne m'y connais pas du tout en informatique.... 
ce que je ne comprends pas c'est que ce message ne touche pas les deux sessions que j'ai mais seulement une seule donc si vous pouviez m'aider. j'ai tout essayé les antivirus (avira antivir mais la recherche ne se fait pas entierement car mon ordi s'éteind à chaque fois...), malwarebite mais j'ai aussi fait avec spybot mais rien y fait...
donc svp aidez moi!
merci d'avance de l'aide si vous y parvenez



Configuration: Windows Vista / Safari 534.13

Malekal_morte- · Answer

Salut, 


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.    


* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché. 


Télécharge ça : https://www.luanagames.com/index.fr.html 
Tu le renommes en winlogon ou iexplore s'il est bloqué. Lances en option 2. 
Poste le rapport ici. 

Ensuite : 
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Mets le à jour, fais un scan, supprime tout et poste le rapport ici. 



puis : 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Mariejuju000 · Answer

Lorsque je suis en mode échec il m'est impossible de me connecter a internet

Malekal_morte- · Answer

Mode sans échec avec prise en charge du réseau ?
Même après la manip "proxy" ça marche pas ?
Tu peux transférer RogueKiller par clef USB ?

mariejuju000 · Answer

finalement j'ai reussi fausse manip voila le rapport RogueKiller V4.0.1 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Started in : Safe mode with network support User: Jean - Philippe [Admin rights] Mode: Scan -- Time : 03/03/2011 17:43:11 Bad processes: 0 Registry Entries: 0 HOSTS File: 127.0.0.1 localhost ::1 localhost Finished

mariejuju000 · Answer

pour malwarebyte je fais quel type d'examen? rapide complet ou éclair?

Malekal_morte- · Answer

rapide mais mets le à jour avant :)

mariejuju000 · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5945

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

03/03/2011 18:46:57
mbam-log-2011-03-03 (18-46-57).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 169124
Temps écoulé: 3 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\Marie\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\Marie\AppData\Local	emp\jar_cache774529271547961310.tmp (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Marie\downloads\plugin-vlc-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\Marie\Desktop\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Marie\AppData\Roaming\microsoft\internet explorer\quick launch\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Marie\AppData\Roaming\microsoft\Windows\start menu\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Marie\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Marie\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

ok good

fais péter OTL maintenant :)

mariejuju000 · Answer

https://pjjoint.malekal.com/files.php?id=32d10568691210

Malekal_morte- · Answer

Spybot est dépassé, tu peux le désinstaller.

Supprime ce dossier : C:\ProgramData\bHjMgHm02400 
Fais une recherche de fichiers sur bHjMgHm02400 
Supprime les autres dossiers, s'il y en a qui ont ce nom.

Redémarre en mode normal voir ce que cela donne.

mariejuju000 · Answer

mais je le trouve ou ce fichier? parce que en le tapant ds recherche je ne le trouve pas

mariejuju000 · Answer

Je ne sais pas, ttes les manipulations qui ont été faites sont sur la session administrateur il faut peut etre quej 'aille sur la session qui a le pb? enfin si il n'y a plus le message

Malekal_morte- · Answer

ok maintenant tu redémarres en mode normal sur ette session et vois ce que cela donne.

Mariejuju000 · Answer

Mais le fichier dit avant j'en fais quoi je ne fais rien?

Mariejuju000 · Answer

Bon ben voilà c'est pire la l'ordinateur ne sallume plus il de bloque avant qu'il y ait le signe Vista je n'y comprends rien...

Mariejuju000 · Answer

Non mm pas ça reste bloqué écran noir avec la souris au milieu

Malekal_morte- · Answer

Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

mariejuju000 · Answer

si je le mets sur clé usb c'est bon? je n'ai pas de cd

mariejuju000 · Answer

j'y comprends rien...

mariejuju000 · Answer

une fois que c'est installé sur cd je mets ce cd sur l'ordi concerné et je fais tt ce qu'ils disent c'est ca?

mariejuju000 · Answer

bon j'essaierai de faire tt ca demain quan dj'aurai un cd mais pourquoi est-ce que je me retrouve ds cette situation? ds les autres forums je vois que les autres ne rencontrent pas ces pbs...

mariejuju000 · Answer

bonjour,

je suis donc dans l'étape set up mais n'étant pas sur je prefere demander avant de faire une mauvaise manip...
donc il me dise de mettre lecteur le CD-ROM avant le disque dur dans la séquence de boot ca veut dire que j'inverse? je mets cd rom à la place de hard disk et inversement?

mariejuju000 · Answer

je n'arrive pas à voir ma clé usb pr pouvoir envoyer le rapport

Malekal_morte- · Answer

y a rien d'anormal dans le rapport... bien que ce soit un rapport sans les scripts (on voit pas tout).

Si toutes les sessions merdouillent, je vois pas trop ce qu'on peux faire de plus à part réinstaller Windows depuis le CD fourni avec le PC....

avec OTLPE tu peux récupérer les documents importants....

Renomme ce dossier C:\Program Files\Citrix\ en C:\Program Files\CitrixOLD
si tu sais faire depuis OTLPE...
et vois si ça débloque qq chose....

mariejuju000 · Answer

le long rapport est fini je peux peut etre essayé de l'envoyer on sait jamais?

Malekal_morte- · Answer

Rien d'anormal à priori.

Démarre en mode normal.
Si le bureau ne s'affiche pas.
Tente de faire CTRL+ALT+SUPPR et ensuite clic sur gestionnaire de tâches.
Clic sur Fichier en haut et nouvelle tâches puis tape explorer.exe et OK.

Vois si cela ouvre le bureau.

mariejuju000 · Answer

donc faut que je remette comme avant le;menu set up?

mariejuju000 · Answer

Bon me revoila,

j'ai donc suivi les consignes j'ai trouvé le programme je l'ai renoomé mais rien de nouveau... en le renommant ca ne m'a rien ajouté ou autre

mariejuju000 · Answer

J'ai pu résoudre mon problème. Merci pour ton aide Malekal.

Bon week end.

Malekal_morte- · Answer

OK.
J'avoue que je t'avais un peu oublié :/
mais bon je vois pas ce qu'on pouvait faire de plus...

Virus...

30 réponses

Discussions similaires