HELP! S.O.S.virus windowsrecovery bureau noir

Résolu
tamarin -  
 gen-hackman -
Bonjour,

J'ai un gros soucis. Je ne sais pas comment mais j'ai choppé ce sale truc. En plus je suis au taf et c'est avec l'ordi du bureau. Alors tout d'abord j'ai eu un message d'erreur comme quoi "the system has detected a pb with one or more installed IDE / SATA hard disks. It is recommended that you restart the system" alors j'ai redémarré et là une fenêtre de windowsrecovery est apparu de je ne sais où pour lancer un scan de l'ordi. J'ai stoppé le scan mais le bureau et vide et tout noire. Je n'ai plus accès à aucun des programmes et au disque dure. je peux seulement naviguer sur la toile. J'ai essayé de télécharger malware antimalware ou qqc comme ça mais l'installation plante me disant qu'elle n'a pas pu terminer.... Pfff je sais plus quoi faire et j'ai du taf.

Quelqu'un aurait-il une idée pour m'aider svp?

Merci d'avance

39 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet décrit une infection par malware sur ordinateur sous Windows XP, avec un message indiquant un problème sur les disques IDE/SATA et apparition d'une fenêtre de récupération Windows avant bureau noir inaccessible.
Plusieurs réponses évoquent des solutions techniques, comme le formatage ou l’utilisation d’outils de nettoyage tels que RogueKiller et List_Kill'em, avec des rapports RK et des éléments de registre et de démarrage à traiter.
D'autres échanges évoquent la présence d'un antivirus d'entreprise verrouillant certaines actions et la difficulté d'installer des outils antivirus, avec des informations techniques sur des processus malicieux et des modifications du fichier hosts.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. tamarin
     
    Wahou! L'option 6 met pas mal de temps à s'exécuté mais je retrouve mon bureau et les icones. L'option 6 n'est pas encore terminé mais je n'ai plus l'icone "windowsrecovery" et j'espère que les fenêtres internet ne se lanceront plus!!

    Merci bcp pour ton aide Gen-hackman, ce fut TRES efficace!
    0
  2. tamarin
     
    En fait la petite icône a bien disparu mais celle sur mon bureau est restées... et des pages internet se lancent tjs automatiquement :-S Que faire?
    0
  3. gen-hackman
     
    poste les rapports de roguekiller stp que je voie
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. tamarin
     
    1er rapport : (option2)

    RogueKiller V4.3.8 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: dapi [Droits d'admin]
    Mode: Suppression -- Date : 15/04/2011 14:45:36

    Processus malicieux: 3
    [ROGUE ST] 19455796.exe -- c:\documents and settings\all users\application data\19455796.exe -> KILLED
    [SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> STOPPED
    [RESIDUE] mpfouili.dll -- C:\WINDOWS\mpfouili.dll -> KILLED

    Entrees de registre: 9
    [BLACKLIST DLL] HKCU\[...]\Run : Bwutefay (rundll32.exe "C:\WINDOWS\mpfouili.dll",Startup) -> DELETED
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : XjFfFSETuJNIM (C:\Documents and Settings\All Users\Application Data\XjFfFSETuJNIM.exe) -> DELETED
    [BLACKLIST DLL] HKLM\[...]\Run : NVHotkey (rundll32.exe nvHotkey.dll,Start) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-2953226908-1601920482-2538903436-1332[...]\Run : Bwutefay (rundll32.exe "C:\WINDOWS\mpfouili.dll",Startup) -> DELETED
    [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED
    [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED
    [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    et voici le 2ème : (option 6)

    RogueKiller V4.3.8 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: dapi [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 15/04/2011 14:58:40

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 1965 / Fail 0
    Lancement rapide: Success 5 / Fail 0
    Programmes: Success 265 / Fail 0
    Menu demarrer: Success 30 / Fail 0
    Dossier utilisateur: Success 166 / Fail 0
    Mes documents: Success 136 / Fail 0
    Mes favoris: Success 8 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 112639 / Fail 0

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  6. gen-hackman
     
    de la bombe ce roguekiller je vous le dit moi !! ^^

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  7. tamarin
     
    En effet, ça me semble efficace. Par contre je n'ai plus aucun document dans C: à part le rapport Ad-remover que voici :

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:44:21 le 15/04/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    dapi@PORTABLE-DAPI ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    -- C:\Documents and Settings\dapi.LYON-MUGUET\Application Data\Mozilla\FireFox\Profiles\u20xasm6.default --
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

    ========================================

    **** Internet Explorer Version [7.0.5730.13] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)
    HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll)
    HKLM_Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - "?" (?)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
    BHO\{88AFA238-2A54-B6F4-920A-88F82F47C23E} - "?" (c:\windows\system32\wiqcdzjp.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 15/04/2011 15:44:35 (1774 Octet(s))

    Fin à: 15:46:21, 15/04/2011

    ============== E.O.F ==============
    0
    1. tamarin
       
      et des fenêtre IE se lancent toujours...
      0
  8. gen-hackman
     
    precisions ?

    je n'ai plus aucun document dans C: à part le rapport Ad-remover que voici
    0
    1. tamarin
       
      en faisant clic droit propriété sur le dossier C: j'ai bien toujours 53 Go de données comme avant d'avoir chopé ce foutu virus mais quand j'ouvre le dossier C: c'est vide! Sauf le rapport de ad-remover qui s'est créé à cet endreoit qui est présent. En d'autres termes, dans C: je n'ai que le .txt d'AD-R
      0
  9. tamarin
     
    C'est grave docteur?
    0
    1. tamarin
       
      Pour info, l'ordi est toujours en bad trip... c'est à dire que certaines applications ne répondent plus, le gestionnaire de tâche ne s'ouvre pas dans ces moments là, je ferme ma session ça prend 10 plombes, alors j'éteins en appuyant sur le bouton, et au redémarrage firefox est très long à se lancer. la galère quoi....
      0
  10. gen-hackman
     
    depuis quand exactement il n'y a plus rien dans C:\ ?
    0
    1. tamarin
       
      depuis que j'ai chopé ce virus, en début d'après-midi. Mais comme je disais plus haut, en faisant clic droit et propriété sur C: , celui-ci "pèseé toujours 50Go.

      Sinon, une fenêtre vient de s'ouvrir s'appelant "Generic Host Process for Win32 Services" disant :

      ------------------------------------------------------------
      Generic Host Process for Win32 Services a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

      Si vous étiez en train de travailler, il se peut que certaines données soient perdues.

      Veuillez signaler ce problème à Microsoft.
      Nous avons créé un rapport d'erreur que vous......
      -------------------------------------------------------------

      en affichant le rapport d'erreur il y a ceci:
      szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : ntdll.dll
      szModVer : 5.1.2600.5512 offset : 00023825

      voilà je sais pas trop ou ca va mener...
      0
  11. tamarin
     
    non pourquoi? j'aurais du? Je ne le fais jamais...
    0
  12. tamarin
     
    à part formater il y aurait d'autres trucs à faire?
    0
  13. gen-hackman
     
    bah si tu signales jamais à Microsoft les soucis qu'il t'arrive quand ca le demande comment tu veux recevoir les mises à jour pour permettre de débeugger les beugs sur ton ordi ?
    0
  14. tamarin
     
    j'ai ce pc depuis un moi seulement. Je n'envois pas les rapport car on ne sais jamais vraiment ce qu'ils contiennent. De plus, je pensais qu'ils servaient à réparer certaines failles pour leurs prochaines versions mais je ne pense pas qu'ils fassent un suivit perso de tous les rapports qu'ils reçoivent. Généralement, je fais les mises à jour de Microsoft quand elles me sont proposées en éteignant le pc et je tiens à jours les dernières versions des logiciels que j'utilise.
    0
    1. tamarin
       
      Merci pour ton aide en tt cas, mais si t'es à cours d'idées on devrait peut-être demander l'aide de qqn d'autre non?
      0
  15. gen-hackman
     
    ▶ Télécharge TDSSKiller

    ▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

    L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

    Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

    ▶ Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\tdsskiller.txt.
    0
  16. Tamarin Messages postés 135 Statut Membre 1
     
    je comprends pas pourquoi mais j'arrive pas à poster le rapport
    0
  17. Tamarin Messages postés 135 Statut Membre 1
     
    je l'ai mis en deux parties..
    0
  18. Tamarin Messages postés 135 Statut Membre 1
     
    voilà la deuxième partie ;-)
    0
  • 1
  • 2