Virus Win/32 inconnu+ecran bleu apres zhpdiag Résolu/Fermé

Question

Bonjour,           

Mon "nouvel" ordinateur est très lent, et j'ai trouvé un virus appelé "Win32/gameplay", mais je sais qu'il y a d'autres virus et j'aimerais les enlever de mon ordinateur.  (J'oublie de préciser en fait cet ordinateur n'est pas a moi, on me l'a prêté, et par la même occasion j'essaie d'enlever les virus pour que mon ami n'aie plus de problèmes).         
      
J'ai exécuté l'analyse zhpdiag, puis un blue screen apparait (il y a ecrit  

KERNEL_APPLICATION_DATA ou un truc dans le genre)  

Puis au démarrage de ma session on me dit "un fichier sous le nom de C:/Program peut être a l'origine des dysfonctionnements de votre ordinateur, pour éviter ce problème ultérieurement, voulez-vous renommer le fichier C:/Program en c:/program1 ? 
  
J'ai mis oui.  

Voilà ça devient inquiétant pourriez vous m'aider vite s'il vous plait ?  

Merci d'avance pour votre aide.         

PS : Cette fois j'vais pas jeter l'ordi, promis (clin d'oeil a Xplode) 

Configuration: Windows 7 x64 / Internet Explorer 9.0 / i5 760 / GTX 460 / 4 go de ram Kingston

afideg · Answer

Bonsoir 

Commence par ceci, SVP.

Télécharger sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html   
       
*( Sous Vista/Seven, clic-droit, et choisir "Exécuter en tant qu'administrateur" )    
* Quitter tous les programmes en cours    
* Lancer RogueKiller.exe.    
* Lorsque demandé, taper 2 et valider    
* Un rapport (RKreport.txt) a dû se créer à côté de l'exécutable, coller son contenu dans la réponse.   
  
* NOTE:  Si le programme a été bloqué, ne pas hésiter à le renommer en winlogon.exe lors du téléchargement, et essayer plusieurs fois.   


Merci 
Al 
Patience-Vigilance-Amour.

Vatar · Answer

Merci pour ta réponse : RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur mail: tigzyRKgmailcom Remontees: Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: user [Droits d'admin] Mode: Suppression -- Date : 19/04/2011 18:15:35 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: Termine : << RKreport[1].txt >> RKreport[1].txt

afideg · Answer

Relance RogueKiller, et taper 6 puis valider.  
Poster le rapport.  
Merci  

Si tu n'y arrives pas, tente en "Mode sans échec avec prise en charge de réseaux". 

Patience-Vigilance-Amour.

Vatar · Answer

Merci à toi, RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur mail: tigzyRKgmailcom Remontees: Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: user [Droits d'admin] Mode: Raccourcis RAZ -- Date : 19/04/2011 19:42:16 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 0 / Fail 0 Lancement rapide: Success 1 / Fail 0 Programmes: Success 1 / Fail 0 Menu demarrer: Success 1 / Fail 0 Dossier utilisateur: Success 17 / Fail 0 Mes documents: Success 3 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 52 / Fail 1 Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

afideg · Answer

Télécharger Malwarebyte's Anti-Malware - depuis    
[ https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 ].    
Enfoncer le bouton radio [Download Now],    
- puis sur le bouton [Enregistrer], choisir sur le bureau.    
Sur le bureau s'affiche alors l'icône "mbam-setup-1.50.1.exe"    

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.  

1°- Installation    
   
- Double-cliquer sur l'icône "mbam-setup-1.50.1.exe" du bureau pour démarrer le programme d'installation > [Exécuter] > Choisir "Français" et valider par [OK] > l'assistant d'installation s'affiche.    
Cliquer sur "Suivant" > cocher la case du bouton ratio devant "... accepter ... la licence" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > et cliquer sur   
[Installer] (laisser faire)    
/!\ Cocher la case du bouton ratio devant "Mettre à jour ... ".    
/!\ Décocher la case du bouton ration devant "Exécuter MBAM"    
> Ensuite cliquer sur [Terminer]    

Attention, à ce moment, la mise à jour démarre (laisser faire) > à la suite du message "Succès de la mise à jour ..." cliquer sur [OK]    

NB : Si un message s'affiche signalant qu'il manque COMCTL32.OCX (ce qui est peu probable), alors le télécharger [ https://www.malekal.com/tutorial-aboutbuster/ ]; et faire les mises à jour (cliquer sur "Mises à jour" puis "Recherche de mises à jour")    

2°- Vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir.    

3°- Analyse    

/!\ Utilisateur de Vista et Windows 7 : Clic-droit sur le logo de Malwarebytes' Anti-Malware, et choisir « Exécuter en tant qu'Administrateur »    

Cliquer sur l'icône de raccourci Malwarebytes's Anti-Malware du bureau.    
Sur la page affichée, choisir l'onglet "Recherche" et cocher la case du bouton ratio "Exécuter un examen Complet", ensuite enfoncer le bouton radio [Rechercher] 
Cocher alors la case devant chaque disques à analyser, clés USB incluses, puis [Rechercher] pour lancer l'analyse. 
Le scan est relativement long (+ de 1 heure généralement), c'est normal.  
    

4°- A la fin de l'analyse, un message s'affiche    
==> Citation : L'examen s'est terminé normalement.    
==> Cliquer sur "Ok" pour poursuivre.   
Si des malwares ont été détectés, cliquer sur "Afficher les résultats".    
==> Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.    

5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.    
Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.   

NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.    

Une aide précieuse dans ce Tutoriel     


Patience-Vigilance-Amour.

Vatar · Answer

Désolé, trente minutes à tout casser ! 


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6399

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19/04/2011 21:00:43
mbam-log-2011-04-19 (21-00-43).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 393920
Temps écoulé: 30 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Papa\Desktop\fichiers autocad\KeyGen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

afideg · Answer

Re,

Tu voulais le cacher, hein !? ==> KeyGen.exe
La charte m'interdit de prendre en charge un PC d'un internaute imprudent.
Mais je te fais une fleur, puisque cette infection est supprimée.

Relancer un diagnostic complet avec ZHPDiag.
Poster son rapport hébergé.

Al

afideg · Answer

C'est un peu fort !

Tenter cet outil proposé par juju666 (que je remercie) avec succès.

Télécharger et exécuter : http://sd-1.archive-host.com/membres/up/17959594961240255/FixShellQuietly.exe 
C'est silencieux, tu ne verras rien, il ne se passera rien. 
Redémarrer ensuite le PC. 

Relancer ZHPDiag.

Je vais bientôt au lit.

Al.

afideg · Answer

Cit  1 gb de libre sur le dd en moins 
J'ai déjà lu cela.

J'appelle quelqu'un à la rescousse.
Je ne peux poursuivre ce soir.

Al.

juju666 · Answer

Salut :)

Afideg m'a demandé de continuer un peu avec toi.

Relance ZHPDiag, clique sur le tournevis vert, décoche le module 080

Retente une analyse pour voir.

juju666 · Answer

Voilà =)

Bizarre, je n'ai jamais eu de pareil cas. Sauf sur ma Virtual Machine; grâce à ça j'ai pu déterminer la cause du bug chez toi.

Il y a un petit reste d'adware (publiciel) sur ton ordinateur, on va pas passer un autre outil pour ça, on va nettoyer directement.

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


R3 - URLSearchHook: (no name) [64Bits] - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} Clé orpheline     
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe     
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe     
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe     
[MD5.00000000000000000000000000000000] [APT] [{006E7E75-86A2-4819-9317-7ADCFB5E4855}] (.Pas de propriétaire.) -- C:\users\user\Desktop\Infos Jeux - Divers\Minecraft\MinecraftSP.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{192873D2-11AF-46F4-A6BD-A876E8D99A0F}] (.Pas de propriétaire.) -- C:\users\user\Desktop\Minecraft\MinecraftSP.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{75038A31-88E1-4022-8DFE-9C229EE5E01D}] (.Pas de propriétaire.) -- C:\users\user\Desktop\Minecraft\MinecraftSP.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{AEAD1F49-371E-46DB-B055-0DD9889EA26F}] (.Valve Corporation.) -- C:\Program Files (x86)\Steam\bin\SteamService.exe\lead and gold gangs of the wild west\runasadmin.vdf 42120 (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{D2443A6D-2A81-4EC1-A236-E55A20089ED0}] (.Pas de propriétaire.) -- C:\users\user\Desktop\MinecraftSP.exe (.not file.) 
[HKCU\Software\AppDataLow\Software\PriceGong]     
[HKLM\Software\Freeze.com]     
EmptyTemp
EmptyFlash
FirewallRAZ


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Vatar · Answer

Tiens le lien pour zhp fix

http://cjoint.com/11av/ADtwNKVmZKk.htm

afideg · Answer

Holà.
Je sors de mon lit (j'ai fait un rêve)
La taille de mémoire réduite dont je me souvenais, c'est ici
https://forums.commentcamarche.net/forum/affich-21807706-virus-de-rage-sur-mon-ordi?page=2
==> L'espace pris par les logs Kaspersky entre autre.
Je retourne au lit --> sinon, je suis bon pour l'hosto.
Merci Juju --> j'avais oublié aussi de mettre HS les O80.
J'étais déjà mal (donc).
Bonne soirée.
Al.

Vatar · Answer

http://cjoint.com/11av/ADtwTMr57s.htm

juju666 · Answer

y'a une clé qui résiste...

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Reg
[-HKLM\Software\Freeze.com]  


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log
   
=======================================================

Pour avancer l'auteur de ZHPDiag dans la conception de son outil, j'aimerai savoir pourquoi ça a planté sur ta station.

On va donc essayer ensemble, si tu veux bien, de remédier à ce soucis.

Essayons d'abord de lancer seul; mbrcheck

&#9654 Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:

* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe

&#9654 Fermer tout et cliquer sur MBRCheck.exe

&#9654 &#9654 S'il te demande de taper "Y or N", tapes N

&#9654 Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).

Vatar · Answer

========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Freeze.com\ deleted successfully.
 
OTM by OldTimer - Version 3.1.17.2 log created on 04192011_225450

juju666 · Answer

excellent :)

passe à MBRCheck STP ?

Vatar · Answer

http://cjoint.com/11av/ADtwqdDcB.htm

Vatar · Answer

Salut, ça va ?

Je suis prêt à exécuter les prochaines démarches à suivre dès que tu reviendras ! Merci de ton aide.

juju666 · Answer

quels sont les fichiers à déplacer et pourquoi? :-\

juju666 · Answer

en fait ton pc est propre; et MBRCheck fonctionne seul; donc zhpdiag a un bug :p

la fin :

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
&#9654 &#9654 cliques sur nettoyeur 
&#9654 cliques sur windows et dans la colonne avancé 
&#9654 coches la première case "vieilles données du perfetch" 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs "
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées" 
&#9654 il te demande de sauvegarder ==> OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK 
&#9654 Vérifie qu'il ne reste plus rien en relançant "rechercher les erreurs" 
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch" 
&#9654 tu peux fermer Ccleaner 

------ 

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques. 

------

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

Vatar · Answer

Rapport de DelFix 


# DelFix v7.7B - Rapport créé le 20/04/2011 à 11:32
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601] 
# Nom d'utilisateur : user - USER-PC (Administrateur)
# Exécuté depuis : C:\Users\user\Desktop\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTM
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Users\user\Desktop\RK_Quarantine
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\user\Desktop\OTM.exe
Supprimé : C:\Users\user\Desktop\MBRCheck.exe
Supprimé : C:\Users\user\Desktop\MBRCheck_04.19.11_22.57.53.txt
Supprimé : C:\Users\user\Desktop\ZHPDiag.txt
Supprimé : C:\Users\user\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\user\Downloads\RogueKiller.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1270 octets] ##########

afideg · Answer

Hello vous deux
Un très grand merci à juju666  ;)
Je vais un peu mieux; je viens d'ouvrir mon PC.
@ juju ==> As-tu remonté le bug ZHPdiag (O80 provoque Blue Screen) à Nicolas ?
Albert.

Virus Win/32 inconnu+ecran bleu apres zhpdiag

23 réponses

Discussions similaires