Sos "Tcav on guard" Résolu/Fermé

Question

Bonjour,  

je fais appel a vous car un gros soucis, et comme je ne m'y connais pas du tout en ordinateur je ne sais pas quoi faire ! 
J'ai un message qui se lance des que j'allume mon ordi fixe, " Trend ChipWayVirus has detected a boot virus on your hard disk " et un message clignotant très vite "TCAV ON GUARD " ! alors j'ai essayé de faire F8 pour démarrer en mode sans échec mais j'ai pas le temps, l'écran noir avec le message arrive de suite ! 
J'ai bien peur que ça fiche en l'air mon ordi et mes disques durs !  
Comment faire ? J'ai regarder sur les forums mais j'y comprend rien, et y a que trois poste en français sur ce problème, en plus mon ordi n'est pas récent, c'est un "fait maison" ! 

Merci pour votre aide svp !!

olivier114 · Answer

* Télécharge OTL sur ton Bureau.
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Sous Personnalisation, copie-colle ce script :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop

* Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
* Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de OTL, choisis une durée de conservation de 360 jours et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum

Del44 · Answer

up !!

olivier114 · Answer

quand vous demarrer il se passe quoi dite moi ce que vous voyer a l'ecran en demarrant normalement

Del44 · Answer

alors j'ai la fenêtre noire avec marqué PNY Ge Force 6200 AGP qui se lance comme a chaque fois que je démarre l'ordi, 
ensuite il y a la fenetre ASUS A7V333, 
et ensuite l'ordi fait un bruit bizarre, plein de petit tac d'affilé comme si il se bloquer, et j'ai l'écran noire avec le message que j'ai marqué dans le sujet, 
Trend ChipAwayVirus et je ne peux plus rien faire, 
dans la fenetre avec le message j'ai le choix "enter for more information" 
et "c to continue booting" et quand je fais enter ça me met "to prevent the data lost from your computer, trend chipawayvirus will restart your system. Insert a bootable clean floppy disk into your floppy driver press "r to restart your system"
voila !

olivier114 · Answer

au démarrage tapoter f8 et essayer:
demarrer avec l'invite de commande en mode sans echec:
puis faite 
sfc/scannow

Del44 · Answer

alors oui j'ai essayé j'ai bien la fen^étre menus d'options avancées de windows xp, mais après il y a l'écran du virus qui se lance, et j'ai plus accès a l'ordi donc je ne peux pas faire entrer pour sélectionner le mode sans échec, je crois que c'est mort non ?!

olivier114 · Answer

avez vous le cd de windows?

Del44 · Answer

oui, mais j'ai démonté les deux dd, je vais m'acheter un boiter dd externe, voir si je peux recupérer les données, et faire une remasteurisation ! Par contre j'ai peur qu'en branchant mon dd C sur mon netbook je me choppe le virus sur ce dernier... je sais pas trop si c'est la meilleure solution que j'ai choisi...Merci beaucoup pour votre tentative d'aide en tout cas ^^ Depuis 10 ans que j'utilise les ordis et le net j'ai jamais eu aucuns soucis, et quand j'en ai je fais pas les choses a moitié apparament ^^

juju666 · Answer

salut je me permet d intervenir 

Sur une machine saine: 
Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau  

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.  
* Patiente le temps de la décompression et de la gravure du CD.  

Tu met ton CD dans la machine infectée et tu fais redémarrer 

* demarrer sur le cdrom crée de Reatogo , voir exemple: https://forum.malekal.com/viewtopic.php?t=9447&start=  
* Ton système doit montrer un bureau REATOGO-X-PE  
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.  
* Double-click sur l'icone OTLPE   
» à ceci valider par ok: http://imagesup.org/image  
» à ceci selectionner sa session: http://imagesup.org/image  
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK  

» OTLPE se lançe alors  
sous Custom Scan box Image copie_colle le contenu du cadre ci dessous:  
netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.  
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.exe  
/md5start  
explorer.exe  
wininit.exe  
eventlog.dll  
scecli.dll  
netlogon.dll  
cngaudit.dll  
sceclt.dll  
ntelogon.dll  
logevent.dll  
iaStor.sys  
nvstor.sys  
atapi.sys  
i8042prt.sys  
cdrom.sys  
disk.sys  
ndis.sys  
tcpip.sys  
mountmgr.sys  
aec.sys  
rasacd.sys  
redbook.sys  
ipsec.sys  
mrxsmb10.sys  
mrxsmb20.sys  
termdd.sys  
mrxsmb.sys  
win32k.sys  
storport.sys  
IdeChnDr.sys  
viasraid.sys  
AGP440.sys  
vaxscsi.sys  
nvatabus.sys  
viamraid.sys  
nvata.sys  
nvgts.sys  
iastorv.sys  
ViPrt.sys  
eNetHook.dll  
ahcix86.sys  
KR10N.sys  
nvstor32.sys  
ahcix86s.sys  
nvrd32.sys  
/md5stop  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
CREATERESTOREPOINT
* clic Run Scan pour demarrer le scan.  
* une fois terminé , le fichier se trouve là C:\OTL.txt  
héberge le sur cjoint.com

Del44 · Answer

juju666 Bonsoir 

Tien le lien du run scan

http://cjoint.com/?1dFtkLmphhm

juju666 · Answer

salut le rapport est vide  ????

juju666 · Answer

ok ok ;)

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

Relance OTLPENet


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "Custom Scan/Fix" :


:OTL
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q="
[2009/10/14 10:45:52 | 000,000,681 | ---- | M] () -- D:\Documents and Settings\Delphine\Application Data\Mozilla\Firefox\Profiles\d2b5bije.default\searchplugins\ask.xml  
[2011/03/20 14:35:27 | 000,000,246 | -H-- | M] () -- D:\WINDOWS	asks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job   
[2011/03/20 14:35:24 | 000,000,246 | -H-- | C] () -- D:\WINDOWS	asks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job 
[2011/03/20 14:35:27 | 000,000,246 | -H-- | M] () -- D:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job  
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
O33 - MountPoints2\{18046334-6f4f-11dc-8d89-0050fc4c5c7f}\Shell - "" = AutoRun
O33 - MountPoints2\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\Shell\Auto\command - "" = AdobeR.exe e
O33 - MountPoints2\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
O3 - HKU\Delphine_ON_D\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.



&#9654 Clique sur « Run Fix (voir image : http://imagesup.org/image )» et laisse l'outil travailler. L'ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

Del44 · Answer

========== OTL ==========
Prefs.js: "http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=" removed from keyword.URL
D:\Documents and Settings\Delphine\Application Data\Mozilla\Firefox\Profiles\d2b5bije.default\searchplugins\ask.xml moved successfully.
D:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job moved successfully.
File D:\WINDOWS	asks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job not found.
File D:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job not found.
Prefs.js: "Ask" removed from browser.search.defaultenginename
Prefs.js: "Ask" removed from browser.search.order.1
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{18046334-6f4f-11dc-8d89-0050fc4c5c7f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18046334-6f4f-11dc-8d89-0050fc4c5c7f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\ not found.
File AdobeR.exe e not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL not found.
Registry value HKEY_USERS\Delphine_ON_D\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
 
OTLPE by OldTimer - Version 3.1.46.0 log created on 03212011_015338

Del44 · Answer

par contre mon ordi n'a pas redémarré !

Del44 · Answer

juju666 t'es parti miamé ?! lool

juju666 · Answer

Hello :)

Parti étudier ^^

Dis moi tu sais démarrer ton ordinateur normalement maintenant ?

juju666 · Answer

Tu peux démarrer en mode sans échec avec prise en charge du réseau  ? (tapote F8 au démarrage)

C'est un rogue qui t'affiche ce message ... Faux logiciel de sécurité.

juju666 · Answer

Run scan c est pour le diagnostic, Run Fix pour lancer la suppression des lignes que je te donne :o)
DOonc tu avais bien réalisé ce qu'il fallait, regarde :

D:\Documents and Settings\Delphine\Application Data\Mozilla\Firefox\Profiles\d2b5bije.default\searchplugins\ask.xml moved successfully. 

Ici, pour refaire le diagnostic que je te demande, c'est par contre Run Scan :P

del44lachieuse · Answer

nouveau diagnostic http://cjoint.com/?1ebwBcHjCaq

juju666 · Answer

Refais l'analyse avec ça dans Personnalisation :

D:\Documents and Settings\All Users\Application Data\

Puis clique sur Run Scan

Del44lachieuse · Answer

http://cjoint.com/?1ebw6k7GaQV

juju666 · Answer

Est-ce que tu connais ça :

D:\Documents and Settings\All Users\Bureau\PerfectDisk 10

juju666 · Answer

&#9654 Télécharge l'image de Dr.Web LiveCD.  
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso  
&#9654 Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :  
          * Met le disque vide CD/DVD dans le lecteur  
          * Sélectionne "Ouvrir"  
          * Trouve et choisis une image mémorisée  
          * Clique sur le bouton "Graver" et attend la fin du processus d'enregistrement   
&#9654  Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton  ordinateur  
&#9654 Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s'afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)  
&#9654 A l'aide des touches flèches du clavier, sélectionne un élément du menu, et clique sur [Enter]:  

&#9654 Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)  
&#9654 Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible  
&#9654 A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et  et cliques sur Start

Del44lachieuse · Answer

pour Dr Web y avait pas mode standard, c'était default, mais je me suis dit que ça marcherait quand même ! SCAN lancé ^^

juju666 · Answer

te revoilou :o)

ok, en attente du rapport donc ;o)

Del44lachieuse · Answer

bah oui j'ai été un peu longue, mais je suis bloqué a la maison donc autant en profiter, cool que tu sois dispo ^^
Je suis a 4050 objet scanné et pour le moment aucun d'infecté, de malicieux, de suspicieux, ça craint... ^^

juju666 · Answer

tu peux redémarrer normalement ? 

je m'en vais ... à ce soir

Del44lachieuse · Answer

bon bah je suis désespérée, j'en suis toujours au même stade. Dr web a trouvé 18 fichiers infectés qui ont été neutralisés mais lorsque j'allume l'ordi j'ai toujours le même message, toujours impossible de lancer un mode sans échec...
voila voila help me please ^^

juju666 · Answer

aaaah te revoilà, tu me manquais ... mdrrr

bien rentre dans le bios de ton ordi ( c est la touche Del ou Esc ... de mémoire)

Cherche après un truc du style "Controleur IDE" : ça doit être mis sur PIO et non DMA

:)

Del44lachieuse · Answer

tiens le resultat du nouveau scan avec OTLPe
https://www.cjoint.com/?ADssPu5PaDu

juju666 · Answer

sous Personnalisation colle ça :
:OTL
O4 - HKU\Delphine_ON_D..\Run: [SVCHOST.EXE]  File not found     
O33 - MountPoints2\{6e64a600-26cb-11de-8ef6-0050fc4c5c7f}\Shell\Auto\command - "" = AdobeR.exe e 
[2007/09/23 04:41:08 | 000,000,040 | -HS- | C] () -- D:\Documents and Settings\Delphine\Application Data\.zreglib 
[2007/09/23 04:40:16 | 000,000,085 | -HS- | C] () -- D:\Documents and Settings\All Users\Application Data\.zreglib 


clique sur Run Fix

juju666 · Answer

essaye de démarrer ?

juju666 · Answer

la console de récupération est installée sur ton ordi ?

juju666 · Answer

pas grave

Sur l'ordi sain:

> Télécharges la console de récupération à cette adresse sur le bureau du PC sain.
> Décompresse le fichier CDR.zip sur ton bureau dans un dossier CDR (clique droit/extraire tout/Suivant/Suivant/Terminer).
________________________________________________________________

> Télécharges Unetbootin ici
> Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Cliques sur DisqueImage.
> Cliques sur ...
> Cliques sur CDR.iso contenu dans le dossier CDR présent sur ton bureau.
> Dans type, laisse Lecteur USB et dans Lecteur, sélectionne la lettre qui correspond à ta clé USB.
> Cliques sur OK et laisse faire.
________________________________________________________________


Sur le PC infecté:

> Insère la clé USB précédemment créée
> (Re)Démarre le PC
> Normalement, un écran bleu apparait. Laisse changer.
> Tapes la touche R.

/!\ Si il te dit Aucun disque détecté à cet étape ou après, fait moi signe, on essayera autre chose /!\

> Tapes la touche 1.
> Ensuite, si tu as un mot de passe de session, tapes le et valide par Entrée. Sinon, laisse vide et valide par Entrée.
> Tapes fixboot et valide par Entrée.
> Tapes o (et pas zéro) et valide par Entrée.
> Tapes fixmbr et valide pas Entrée
> Tapes o (et pas zéro) et valide par Entrée
> Tapes exit et valide par Entrée.
> Le PC redémarre, enlève ta clé USB.

Del44lachieuse · Answer

ça ne marche pas...je rééssaye

Del44lachieuse · Answer

j'ai recommencé et ça ne marche pas...

juju666 · Answer

arfffff :o(

suis les instructions de cette page : https://www.malekal.com/ecran-noir-impossible-de-demarrer-windows/

le point "Mode sans échec ne fonctionne pas : OTLPE"

juju666 · Answer

telecharge et dezippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip

  Avec l'onglet "browse", sélectionne super_grub_disk_0.9799.iso

  coche alors "read verify" , "Finalyze" et "autoeject"

  déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start

* Boot dessus et choisi avec les fleche de ton clavier ?WIN=> MBR & !WIN! 

voir image : http://imagesup.org/image

Del44lachieuse · Answer

coucou !
alors il me repond NTLDR is missing, press Ctrl+alt+del to restart...
Et je fais quoi ? lol

juju666 · Answer

arf depuis quand?

j'ai l'impression que ton windows n'a plus envie de bosser; il a passé l'arme à gauche \o/

juju666 · Answer

c est que ça a fonctionné...
puisque ton ordi démarre sans ce fameux message...

malheureusement windows est mort s'il indique ça

juju666 · Answer

mdrrr

bah en fait donc comme je te l ai dit; ton ordi démarre maintenant; mais il te dit que windows est bousillé \o/

tu as un cd de windows ?

Del44lachieuse · Answer

ok je suis déçue, t'avais dit que tu ne laissais jamais tombé ^^
Et dans tes amis joker doué en ordi y a personne ?!
Mais bon en attendant je suis bien triste pour mes photos ! Pense tu que le virus peut se propager par clé usb ?! si je copie mes documents est ce qu'il pourra se transféré sur mon autre pc ? et est ce que je peux graver via le bureau rea quelquechose crée par OTLP ?
Merci GRANDEMENT en tout cas d'avoir essayé de m'aider !!

juju666 · Answer

hello,

je viens de penser à un truc :)

t avais une clé/disque dur externe branché à ton ordi quand il démarre?

si oui débranche !

gen-hackman · Answer

salut je viens à la rescousse :)

le pc demarre-t-il toujours sur cd OTLPE ?

Sos "Tcav on guard"

45 réponses

Discussions similaires