bloqué sur écran "Bienvenue", Fermé

Question

Bonjour, 

J'ai besoin de votre aide! 
Mon écran se bloque au démarrage, sur l'écran "Bienvenue" ou sur l'écran "Chargement de vos paramètres personnel"! Impossible d'atteindre le Bureau sauf en mode sans échec.

Là je vous écris en étant en mode sans échec avec prise en charge du réseau.

Il en est de même pour éteindre l'ordi, j'ai l'impression qu'il bloque également sur "Fermeture de Windows" alors je l'éteins en appuyant sur le bouton power.

Pouvez-vous m'aider s'il vous plait?

D'avance merci



Configuration: Windows XP / Firefox 4.0

Xplode · Answer

Bonjour et bienvenue sur CommentCaMarche !

&#9672; Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

&#9672; Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.


&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPDiag &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

&#9672; Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

&#9672; Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

&#9672; Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

&#9672; Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

&#9672; Rend toi sur cjoint puis clique sur " Parcourir ".

&#9672; Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

&#9672; Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

adelicious · Answer

D'avance merci d'avoir pris le temps de lire pour message et de m'accorder de ton temps pour régler ce problème.

J'ai le rapport ZHP, mais impossible de le faire via ci joint ou autre site de dépôt de fichier.

Puis-je te copier/coller le résultat dans le message?

adelicious · Answer

voilà je me suis débrouillé avec un autre ordi qui n'est pas infecté...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijG3WMnWm.txt

adelicious · Answer

voici le rapport ZHP

http://www.cijoint.fr/cjlink.php?file=cj201104/cijG3WMnWm.txt

Xplode · Answer

Ok, fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; TDSSKiller &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

&#9672; Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

&#9672; Clique sur [Start Scan] pour démarrer l'analyse.

&#9672; Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

&#9672;  Un rapport s'ouvrira au redémarrage du PC.

&#9672; Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

adelicious · Answer

impossible d'exécuter TDSSkiller en mode sans échec avec prise en charge du réseau ni même en mode normal: l'initialisation de tdsskiller s'arrête à 80% puis ça me met un message comme quoi tdsskiller a du s'arrêter.

Xplode · Answer

Ca me facilite pas la tâche :/

On va essayer un truc, télécharge ça : http://sd-1.archive-host.com/membres/up/17959594961240255/FixShellQuietly.exe

Lance le, il ne se passera rien.

Essaie ensuite de redémarrer le PC en mode normal

adelicious · Answer

voilà, j'ai exécuté Fixshell en mode sans échec et là je viens de redémarrer en mode normal!  J'ai réussi à atteindre le bureau en mode normal

Xplode · Answer

Nickel ! 

Essaie d'exécuter TDSSKiller en mode normal maintenant. Refais moi également un rapport ZHPDiag

adelicious · Answer

toujours impossible d'exécuter tdsskiller, je te refais néanmoins un nouveau rapport zhp

adelicious · Answer

rapport zhp



http://www.cijoint.fr/cjlink.php?file=cj201104/cijWq06GWi.txt

Xplode · Answer

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPFix &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

&#9672; Copie le texte en gras ci-dessous ( CTRL + C pour copier )


O43 - CFD: 08/04/2011 - 22:56:20 - [14336] ----D- C:\Documents and Settings\Housni\Application Data\updates  
O53 - SMSR:HKLM\...\startupreg\engel  [Key] . (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\Documents and Settings\Housni\Application Data\updates\updates.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    
C:\Documents and Settings\All Users\Application Data\Trymedia    
C:\Program Files\Red Kawa\Video Converter App\OpenCandy
[HKLM\Software\Xkejamzf]
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Housni\LOCALS~1\Temp\smxewcrnao.tmp" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\smxewcrnao.tmp (.not file.)   
O64 - Services: CurCS - (.not file.) - 06091251 (06091251)  .(...) - LEGACY_06091251   
O64 - Services: CurCS - (.not file.) - 06091252 Boot Guard Driver (06091252)  .(...) - LEGACY_06091252   
O64 - Services: CurCS - (.not file.) - 2fbcd8c0 (2fbcd8c0)  .(...) - LEGACY_2FBCD8C0  
O64 - Services: CurCS - (.not file.) - 3dce9080 (3dce9080)  .(...) - LEGACY_3DCE9080   
O64 - Services: CurCS - (.not file.) - 92764821 (92764821)  .(...) - LEGACY_92764821    
O64 - Services: CurCS - (.not file.) - 92764822 Boot Guard Driver (92764822)  .(...) - LEGACY_92764822    
O64 - Services: CurCS - (.not file.) - e162380 (e162380)  .(...) - LEGACY_E162380    
O64 - Services: CurCS - (.not file.) - SolidWorks Licensing Service (oauyte6j4k3e)  .(...) - LEGACY_OAUYTE6J4K3E   
O64 - Services: CurCS - (.not file.) - tuslawlt (tuslawlt)  .(...) - LEGACY_TUSLAWLT   
O23 - Service:  (aswUpdSv) - Clé orpheline



&#9672; Lance ZHPFix qui est présent sur ton bureau.

&#9672; Clique sur le "H" bleu ( Coller les lignes Helper )

&#9672; Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

&#9672; Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

&#9672; Clique maintenant sur [Tous] , puis sur [Nettoyer]

&#9672; Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

&#9672; Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

adelicious · Answer

voici le rapport ZHPfix

http://www.cijoint.fr/cjlink.php?file=cj201104/cijoTvr4Tb.txt

Xplode · Answer

Redémarre le PC et refais moi un rapport ZHPDiag. Comment se porte le PC ?

adelicious · Answer

j'ai redémarré le PC normalement, des difficultés pour accéder à cijoint ou dlfree pour t'envoyer le rapport, la page internet se coupe, bref je te l'envoie d'un autre pc

http://www.cijoint.fr/cjlink.php?file=cj201104/cij16kuk56.txt


PS: toujours impossible de lancer tdsskiller

Xplode · Answer

Fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Combofix &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

&#9672; Double clique sur " Combofix.exe " 

&#9672; Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

&#9672; Pendant le scan, ne touche à rien ( souris, clavier ) 

&#9672; Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

adelicious · Answer

voici le rapport combofix


http://www.cijoint.fr/cjlink.php?file=cj201104/cijIda6EE2.txt

Xplode · Answer

Rends toi sur virustotal : https://www.virustotal.com/gui/
Clique sur parcourir et sélectionne le fichier C:\PhysicalDisk0_MBR.bin
Clique sur [Ok] puis [Send File]
Patiente pendant l'analyse, puis poste moi l'URL du résultat ( en haut dans ton navigateur )

adelicious · Answer

bonjour 

voici le lien url de virustotal

http://www.virustotal.com/file-scan/report.html?id=fc4201729251e41eb9c37890556e40fe101be9ac5a9c7de1b4c102838adbff45-1303208916


ps: internet rame pas mal sur cet ordi, alors que sur l'autre no

pps: j'ai avast qui me met régulièrement la menace suivante:  C:\WINDOWS\Systeme32\svchost.exe

Xplode · Answer

Re,

Peux-tu me donner plus de précisions sur l'alerte d'avast ?

Fais également ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; CFScript &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


/!\ Attention : Cette procédure n'est valable que pour adelicious /!\

&#9672; Copie le texte en gras ci dessous :


KillAll::

Driver::

mmnge

Rootkit::

c:\windows\system32\drivers\wbwd.sys

NetSvc::

owopacjx 


&#9672; Ouvre le bloc-note puis colle le texte ci dessus dedans.

&#9672; Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

&#9672; Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

&#9672; Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

&#9672; Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

adelicious · Answer

voici le rapport combofix

http://www.cijoint.fr/cjlink.php?file=cj201104/cijT8b0Evg.txt

Xplode · Answer

Bien. Maintenant fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Malwarebytes' Anti-Malware &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge Malwarebytes' Anti-malware sur ton bureau.

&#9672; Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"

&#9672; A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

&#9672; Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]

&#9672; Sélectionne tout tes disques locaux et amovibles.

&#9672; Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.

&#9672; Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].

&#9672; MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

&#9672; Tu peux ensuite vider la quarantaine de MBAM.

Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

&#9672; Si tu as des soucis, un tutoriel est disponible à cette adresse.

adelicious · Answer

bonsoir

voici le rapport MBAM

http://www.cijoint.fr/cjlink.php?file=cj201104/cijx3wfIjh.txt

Xplode · Answer

Bien. Peux-tu me dire comment se porte le PC à ce stade là ?

Refais ceci : https://forums.commentcamarche.net/forum/affich-21852007-bloque-sur-ecran-bienvenue#1

adelicious · Answer

bonjour, 

voici le nouveau rapport ZHP 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijdqN3iGU.txt 

Concernant l'état de mon ordi: ni bien, ni mal. 

J'arrive à accéder normalement au bureau, cependant j'ai l'impression qu'il rame beaucoup, et surtout quand j'ouvre mozilla ça met un temps fou à ce que la page s'affiche alors que j'ai un signal wifi ok, alors que tout se passe bien sur mon autre ordi

Xplode · Answer

J'ai un autre utilisateur qui a des symptômes très similaires aux tiens, fais ceci :

* telecharge dans un dossier dédié ou sur ton bureau http://www.esagelab.com/files/bootkit_remover.rar

» extrait dans ce même dossier ou sur ton Bureau bootkit_remover.rar , un fichier remover.exe en est le contenu.

utilise http://wobzip.org/ pour dezipper si ton extracteur ne le prend pas en charge

* copier_coller remover.exe à la racine du disk et pas ailleurs!! c:emover.exe

* ouvre ton bloc-note [executer---> notepad]

» copie_colle dans la fenêtre du du bloc note le contenu du texte ci dessous :

@ECHO OFF
cd c:\
start remover.exe dump \.\PhysicalDrive0 tralala
EXIT



» enregistre (fichier\enregistrer sous ..) ce texte sous le nom copymbr.bat à coté de remover.exe pas ailleurs!!!! ,

double clic |clic droit exécuter en tant qu'administrateur sous vista,seven| sur copymbr.bat , un fichier tralala est crée à coté de remover.exe

rend toi sur le site https://www.virustotal.com/gui/ ou https://virusscan.jotti.org/ afin de scanner le fichier tralala , il faut cliquer reanalyze si l'archive a déjà été au préalable analysée.

» une fois le scan terminé , poste l'adresse du lien dans ta prochaine réponse

adelicious · Answer

bonsoir 

http://virusscan.jotti.org/fr/scanresult/99054c992f15318d77dd5d45e134d57040862599

http://www.virustotal.com/file-scan/report.html?id=253350bba9d0e57e305494d55525fd63b9e94bd2ab3e4549866aef653035707d-1303332442

Xplode · Answer

Re, 

T'as choppé la variante coriace de TDL4 qui sévit en ce moment... :o)

Télécharge ceci sur ton bureau : http://download.berlios.de/supergrub/super_grub_disk_0.9799.iso

Télécharge burncdcc ici : http://sd-1.archive-host.com/membres/up/17959594961240255/BURNCDCC.EXE

Insère un CD vierge dans ton lecteur

Lance le, clique sur [Browse] et sélectionne le fichier " super_grub_disk_0.9799.iso " présent sur ton bureau.

Coche " Read Verify " , " Finalize " et "Auto eject"

Clique sur [Start] , patiente le temps de la gravure.

Une fois la gravure finie, redémarre le PC avec le CD dans le lecteur.

Une fois que le PC aura démarré sur Super Grub Disk, sélectionne avec les flèches du clavier : ?WIN=> MBR & !WIN!

Une fois ceci fait, redémarre le PC en enlevant le CD du lecteur

adelicious · Answer

bonjour,

dans ce cas je crois que je vais avoir un gros souci. Mon lecteur CD ne marche pas depuis un moment déjà. N'y'aurait il pas une autre alternative?

Xplode · Answer

Si, il y a la méthode "Clé USB"

Munis toi d'une clé USB vierge ( avec rien dessus ) 

Télécharge Unetbootin : https://sourceforge.net/create/

Lance UNetbootin, clique sur la première liste déroulante à droite de "Distribution" puis sélectionne " Super Grub Disk "

Dans lecteur, sélectionne la lettre de ta clé USB puis clique sur [ok]

Patiente pendant que le programme télécharge et installe les fichiers sur ta clé, suis les instructions, redémarre ton PC puis une fois que le PC aura booté sur Super Grub Disk, sélectionne avec les flèches du clavier : ?WIN=> MBR & !WIN!

adelicious · Answer

j'ai une clé usb de 512mb avec rien dessus, seulement un fichier autorun.inf c'est bon?


(c'est une clé usb de la ville de toulouse et l'autorun lance sur une page internet de la ville de toulouse)

adelicious · Answer

au redemarrage j'ai laisse la clé usb et ça redemarre sur unetbootin, je ne vois pas la commande que tu m'a désigné

adelicious · Answer

oui j'ai bien selectionné supergrubdisk dans distribution, et bel et bien selectionné la lettre de ma clef usb (G) alors que le fichier autorun (toulouse) se trouve dans le lecteur cd H


lorsque je redémarre mon ordi je tombe sur un page noir avec unetbootin et la selection defaut, et pour atteindre les option il me demande d'appuyer sur TAB, quand j'appuie sur TAB ça me met la ligne suivante   

> /ubnkern initrd=/ubninit

adelicious · Answer

sur defaut j'ai appuyer également sur entrée mais ça redemmare de nouveau sur la page unetbootin....je vais recommencer

adelicious · Answer

oui quand j'appuie entrée sur la selection defaut ça redemarre sur unetbootin

adelicious · Answer

c'est bon je crois là j'ai une page  

Booting 'WIN=> MBR & !WIN!      :((((((((((((((((('

set aux_hd= "hd0"
dd (fd0)/boot/sgd/brs/syslinux.bin  (hd0)  0 0 300

adelicious · Answer

c'est bon!


j'ai redemarré normalement!


ps: j'atteind le bureau normalement, mais internet rame encore un peu

Xplode · Answer

Ok, maintenant pour vérif' refais cette étape : https://forums.commentcamarche.net/forum/affich-21852007-bloque-sur-ecran-bienvenue?page=2#27

+ Un nouveau rapport ZHPDiag

adelicious · Answer

fichier tralala

http://virusscan.jotti.org/fr/scanresult/99054c992f15318d77dd5d45e134d57040862599/f34aca64dff8f973d020a4fae081c1e8946655bf

http://www.virustotal.com/file-scan/report.html?id=253350bba9d0e57e305494d55525fd63b9e94bd2ab3e4549866aef653035707d-1303389270

adelicious · Answer

rapport ZHP

http://www.cijoint.fr/cjlink.php?file=cj201104/cijBVQj8YV.txt


ok je recommence avec virus total...

adelicious · Answer

voilà

http://virusscan.jotti.org/fr/scanresult/f34aca64dff8f973d020a4fae081c1e8946655bf/9fcceca26efe79a9937d38a1da4d0935eb712efd

http://www.virustotal.com/file-scan/report.html?id=253350bba9d0e57e305494d55525fd63b9e94bd2ab3e4549866aef653035707d-1303391363


pour le fichier tralala il dans C:\ avec remover.exe   c'est bien ça?  et pas sur le bureau

adelicious · Answer

je sais pas mais quelque chose me dit que ça va être très très dur de désinfecter tout ça n'est  ce pas?  ;-)

Xplode · Answer

Je comprends pas.. Normalement Super Grub Disk aurait du réécrire un MBR sain. Et là ton MBR est toujours infecté..

En effet c'est pas de la tarte, cette variante de TDSS c'est une vraie plaie..

Essaie ceci :

Ouvre le bloc-note, copie/colle ceci dedans :

@ECHO OFF
START remover.exe fix \.\PhysicalDrive0
EXIT

Enregistre le fichier en "Fix.bat" sous C:\ ( à côté de remover.exe )
Lance le en tant qu'administrateur, une fenêtre noire doit s'ouvrir et se refermer peu de temps après.
Une fois ceci fait, redémarre ton ordinateur.

adelicious · Answer

voilà j'ai redémarré

Xplode · Answer

Ok refais moi un nouveau rapport ZHPDiag

adelicious · Answer

rapport ZHP  


http://www.cijoint.fr/cjlink.php?file=cj201104/cijXSKVb0t.txt

Xplode · Answer

Grrr...

T'as ton CD de windows XP avec toi ?

adelicious · Answer

non malheureusement je l'ai pas!  C'est foutu tu crois?

adelicious · Answer

Bonsoir Xplode!

juste une question si j'ai bien compris mon pc est infecté dans le MBR ce qui signifie que l'on peut me voler mes mots de passes c'est bien ça?

Xplode · Answer

Hello,

Non :o)

Fais ceci :

Installation de la console de récupération sur ta clé USB.

> Télécharges la console de récupération ici : https://app.box.com/s/u5t9gjmd5q
> Double clique sur le fichier RescueUSB.bat (bat peut ne pas apparaitre) précédemment téléchargé sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Insère une clé USB sur un de tes ports USB et sauvegarde toutes tes données importantes de ta clé sur ton ordi (la clé va être effacée).
> Tapes 2 et valide par Entrée.
> Une liste des périphérique USB détectés est affichée. Repère le numéro de ta clé USB (grace à la taille affichée et à sa lettre).
> Tape le numéro de la clé précédemment identifié.
> Ensuite, si ta clé à une taille inférieur à 4Go, tape fat16 et valide par Entrée. Si elle a une taille supérieur à 4Go, tape fat32 et valide par Entrée.
> Une fenêtre s'ouvre pour confirmer le formatage (effacement) de ta clé. Clique sur OK pour valider.
> Clique sur une touche pour quitter.
> (Re)démarre le pc infecté en laissant (mettant) la clé USB sur un port libre.

Utilisation de la console de récupération

> Une fois le PC redémarré, la console de récupération va être chargée
> Tape 1 et valide par Entrée.
> Tape la commande Batch cdrset et valide par Entrée.
> Tape la commande fixboot et valide par Entrée
> Tape la touche o et valide par Entrée.
> Tape la commande fixmbr et valide par entrée
> Tape la touche o et valide par Entrée
> Tape exit et valide par Entrée. Enlève ta clé. L'ordi doit redémarrer.

Xplode · Answer

Bonsoir,

Puisque tu as été voir ailleurs : http://www.vista-xp.fr/forum/topic9866.html

Ce topic est pour moi clos.

Bonne continuation.

Bloqué sur écran "Bienvenue",

51 réponses