PC infecté gros problème
Mina
-
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je viens demander votre aide après avoir un peu tout essayé pour me debarasser du virus ou spyware qui pourri mon pc.
Depuis quelques jours, mon ordinateur s'éteint et se rallume tout seul, le lecteur cd s'ouvre et se ferme tout seul, (lorsque je ferme le lecteur cd, mon ordinateur s'éteint). Je constate également l'arrivé de nombreux pop-up et une fenetre noir qui apparait et disparait très rapidemment.
En plus de tout ça mon pc se trouve considérablement ralenti et rame terriblement, sans doute un effet des spywares. Je crains que mes mots de passe ne soient mis en danger par ces logiciels.
J'ai fais des scans avec avast, malaware il y avait 2-3 résultats mais rien ne change.
Bref je suis très inquiète et j'espèque que quelqu'un pourra m'aider.
Merci d'avance.
Je viens demander votre aide après avoir un peu tout essayé pour me debarasser du virus ou spyware qui pourri mon pc.
Depuis quelques jours, mon ordinateur s'éteint et se rallume tout seul, le lecteur cd s'ouvre et se ferme tout seul, (lorsque je ferme le lecteur cd, mon ordinateur s'éteint). Je constate également l'arrivé de nombreux pop-up et une fenetre noir qui apparait et disparait très rapidemment.
En plus de tout ça mon pc se trouve considérablement ralenti et rame terriblement, sans doute un effet des spywares. Je crains que mes mots de passe ne soient mis en danger par ces logiciels.
J'ai fais des scans avec avast, malaware il y avait 2-3 résultats mais rien ne change.
Bref je suis très inquiète et j'espèque que quelqu'un pourra m'aider.
Merci d'avance.
A voir également:
- PC infecté gros problème
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
- Double ecran pc - Guide
25 réponses
Bonsoir,
Désactive l'UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
*******
Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.
Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.
Aide en images.
Désactive l'UAC (User Account Control) le temps de la désinfection.
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
*******
Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.
Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.
Aide en images.
Bonsoir
et merci beaucoup pour ta réponse rapide.
Je suis actuellement les consignes que tu m'as donné, l'analyse de RSIT est en cours (mais après avoir bien avancé au début elle est bloqué au même point depuis plusiseurs minutes). Dois-je relancer ou attendre ?
Merci
et merci beaucoup pour ta réponse rapide.
Je suis actuellement les consignes que tu m'as donné, l'analyse de RSIT est en cours (mais après avoir bien avancé au début elle est bloqué au même point depuis plusiseurs minutes). Dois-je relancer ou attendre ?
Merci
Oui finalement, ça s'est debloqué.
Voici les résultats:
Fichier Log
http://www.cijoint.fr/cjlink.php?file=cj201104/cijeyZ7jns.txt
et Fichier info
http://www.cijoint.fr/cjlink.php?file=cj201104/cijKLcgVNZ.txt
Voici les résultats:
Fichier Log
http://www.cijoint.fr/cjlink.php?file=cj201104/cijeyZ7jns.txt
et Fichier info
http://www.cijoint.fr/cjlink.php?file=cj201104/cijKLcgVNZ.txt
Parfait.
Pas grand chose de méchant.
Désinstalle ceci :
- Spybot Search and Destroy (trop peu efficace pour beaucoup de RAM prise pour tourner).
- AutocompletePro
*********
Suppression avec AD-R :
Télécharge AD-R (de C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
*******
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
Pas grand chose de méchant.
Désinstalle ceci :
- Spybot Search and Destroy (trop peu efficace pour beaucoup de RAM prise pour tourner).
- AutocompletePro
*********
Suppression avec AD-R :
Télécharge AD-R (de C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
*******
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
j'ai suivi toutes vos directives,
voici donc le premier rapport d'AD-R
http://www.cijoint.fr/cjlink.php?file=cj201104/cijgLik8YQ.txt
et le second rapport de Malwarebytes qui a supprimé 15 élements infectés
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6404
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048
20/04/2011 13:14:45
mbam-log-2011-04-20 (13-14-45).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 457099
Temps écoulé: 1 heure(s), 8 minute(s), 21 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{PCP34VQO-S2Q1-2FFL-O1GV-8543IN3KD3K0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{PCP34VQO-S2Q1-2FFL-O1GV-8543IN3KD3K0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msconfig (Trojan.Agent) -> Value: msconfig -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Downloader) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Downloader) -> Value: HKCU -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\microsoft\System\Services\msconfig.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\install\server.exe (Backdoor.Bot.M) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\Windows\System32\install\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\install\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\install\iexplorer.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.
j'ai suivi toutes vos directives,
voici donc le premier rapport d'AD-R
http://www.cijoint.fr/cjlink.php?file=cj201104/cijgLik8YQ.txt
et le second rapport de Malwarebytes qui a supprimé 15 élements infectés
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6404
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048
20/04/2011 13:14:45
mbam-log-2011-04-20 (13-14-45).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 457099
Temps écoulé: 1 heure(s), 8 minute(s), 21 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{PCP34VQO-S2Q1-2FFL-O1GV-8543IN3KD3K0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{PCP34VQO-S2Q1-2FFL-O1GV-8543IN3KD3K0} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msconfig (Trojan.Agent) -> Value: msconfig -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Trojan.Downloader) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Downloader) -> Value: HKCU -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\microsoft\System\Services\msconfig.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\install\server.exe (Backdoor.Bot.M) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\Windows\System32\install\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\install\server.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Roaming\install\iexplorer.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.
Je voulais signaler aussi (et je ne sais pas si c'est lié) mais lorsque mon pc est inactif pendant une dizaine de minutes, un écran bleu apparait et au redémarrage je reçois un message me disant qu'un problème a empecher windows de fonctionner normalement.
des idées d'où peut venir ce problème ? Mercid'avance
des idées d'où peut venir ce problème ? Mercid'avance
Très bien bossé ;-).
Adwares supprimés (à ne plus réinstaller :)
- FunWebProducts
- MyWebSearch
- Conduit
******
Connais-tu ce fihcier ?
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe
******
me disant qu'un problème a empecher windows de fonctionner normalement.
As-tu plus de précisions sur le message d'erreur exact ?
*******
Va dans la quarantaine de MBAM et restaure ces fichiers :
c:\Windows\System32\install\server.exe
c:\Windows\SysWOW64\install\server.exe
Ensuite, fais-les analyser sur VirusTotal :
https://www.virustotal.com/gui/
Envoie moi les deux rapports ici lorsqu'ils sont analysés.
Si tu es à l'aise et que tu as le temps (sinon, laisse tomber) :
- Restaure aussi si possible ce fichier de la quarantaine :
c:\Users\Mina\AppData\Roaming\logs.dat
Clic droit dessus > Ouvrir avec > Bloc-Notes
Envoie moi le contenu ici.
Si le contenu est très long, héberge le fichier sur cijoint également directement.
(Il se peut que tu aies besoin d'afficher les fichiers et dossiers cachés)
********
Pour vérification :
Télécharge et installe UsbFix de C_XX & El_Desaparecido :
= = = = >>> En cliquant ici <<< = = = =
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !
* Clique droit sur le raccourci UsbFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur".
* Clique sur le bouton Recherche
* Laisse travailler l'outil.
* Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra.
Notes :
- Le rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- Si l'outil ne se lance pas, désactive ton antivirus le temps de la manipulation.
Adwares supprimés (à ne plus réinstaller :)
- FunWebProducts
- MyWebSearch
- Conduit
******
Connais-tu ce fihcier ?
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe
******
me disant qu'un problème a empecher windows de fonctionner normalement.
As-tu plus de précisions sur le message d'erreur exact ?
*******
Va dans la quarantaine de MBAM et restaure ces fichiers :
c:\Windows\System32\install\server.exe
c:\Windows\SysWOW64\install\server.exe
Ensuite, fais-les analyser sur VirusTotal :
https://www.virustotal.com/gui/
Envoie moi les deux rapports ici lorsqu'ils sont analysés.
Si tu es à l'aise et que tu as le temps (sinon, laisse tomber) :
- Restaure aussi si possible ce fichier de la quarantaine :
c:\Users\Mina\AppData\Roaming\logs.dat
Clic droit dessus > Ouvrir avec > Bloc-Notes
Envoie moi le contenu ici.
Si le contenu est très long, héberge le fichier sur cijoint également directement.
(Il se peut que tu aies besoin d'afficher les fichiers et dossiers cachés)
********
Pour vérification :
Télécharge et installe UsbFix de C_XX & El_Desaparecido :
= = = = >>> En cliquant ici <<< = = = =
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir !
* Clique droit sur le raccourci UsbFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur".
* Clique sur le bouton Recherche
* Laisse travailler l'outil.
* Ensuite poste l'intégralité du rapport UsbFix.txt qui apparaîtra.
Notes :
- Le rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- Si l'outil ne se lance pas, désactive ton antivirus le temps de la manipulation.
Alors je ne pourrais pas restaurer les fichiers que tu m'as demandé car j'ai supprimé tous les fichiers en quarantaine lol :( j'espère que ce n'est pas encore une autre erreur
Concernant ce fichier
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe
Je ne le connais pas mais c'est un ordi familial, on est plusieur dessus
Pour le message d'erreur de windows, c'est exactement le message que j'ai reçu que je t'ai retranscrit
"un problème a empêcher windows de fonctionner normalement."
Voici le rapport USB fix
############################## | UsbFix 7.043 | [Recherche]
Utilisateur: Mina (Administrateur) # PC-DE-MINA [Packard Bell imedia S3710]
Mis à jour le 12/04/2011 par TeamXscript
Lancé à 00:44:55 | 21/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.
CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19048
Pare-feu Windows: Activé
RAM -> 6142 Mo
C:\ (%systemdrive%) -> Disque fixe # 458 Go (184 Go libre(s) - 40%) [OS] # NTFS
D:\ -> Disque fixe # 458 Go (379 Go libre(s) - 83%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> Disque fixe # 12 Go (2 Go libre(s) - 18%) [SYSTEME] # NTFS
M:\ -> Disque fixe # 24 Go (6 Go libre(s) - 25%) [PROGRAMMES] # NTFS
N:\ -> Disque fixe # 34 Go (4 Go libre(s) - 12%) [DOSSIERS] # NTFS
O:\ -> Disque fixe # 58 Go (3 Go libre(s) - 4%) [IMAGE & SON] # NTFS
################## | Éléments infectieux |
Présent! C:\Users\Mina\AppData\Roaming\install
Présent! C:\Windows\SysWOW64\install
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\discspeed.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drivespeed.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\infotool.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nero.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerostartsmart.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\neroupgrade.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerovision.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshop elements 6.0.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshopelementseditor.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshopelementsorganizer.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setupx.exe
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Concernant ce fichier
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe
Je ne le connais pas mais c'est un ordi familial, on est plusieur dessus
Pour le message d'erreur de windows, c'est exactement le message que j'ai reçu que je t'ai retranscrit
"un problème a empêcher windows de fonctionner normalement."
Voici le rapport USB fix
############################## | UsbFix 7.043 | [Recherche]
Utilisateur: Mina (Administrateur) # PC-DE-MINA [Packard Bell imedia S3710]
Mis à jour le 12/04/2011 par TeamXscript
Lancé à 00:44:55 | 21/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.
CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19048
Pare-feu Windows: Activé
RAM -> 6142 Mo
C:\ (%systemdrive%) -> Disque fixe # 458 Go (184 Go libre(s) - 40%) [OS] # NTFS
D:\ -> Disque fixe # 458 Go (379 Go libre(s) - 83%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> Disque fixe # 12 Go (2 Go libre(s) - 18%) [SYSTEME] # NTFS
M:\ -> Disque fixe # 24 Go (6 Go libre(s) - 25%) [PROGRAMMES] # NTFS
N:\ -> Disque fixe # 34 Go (4 Go libre(s) - 12%) [DOSSIERS] # NTFS
O:\ -> Disque fixe # 58 Go (3 Go libre(s) - 4%) [IMAGE & SON] # NTFS
################## | Éléments infectieux |
Présent! C:\Users\Mina\AppData\Roaming\install
Présent! C:\Windows\SysWOW64\install
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\discspeed.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drivespeed.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\infotool.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nero.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerostartsmart.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\neroupgrade.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerovision.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshop elements 6.0.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshopelementseditor.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photoshopelementsorganizer.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setupx.exe
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Ok.
Tu ne pourras pas restaurer ce fichier vu qu'il a été supprimé par MBAM et tu as vidé la quarantaine.
Relance USBFix en sélectionnant l'option de suppression.
Envoie-moi le rapport une fois terminé.
Tu ne pourras pas restaurer ce fichier vu qu'il a été supprimé par MBAM et tu as vidé la quarantaine.
Relance USBFix en sélectionnant l'option de suppression.
Envoie-moi le rapport une fois terminé.
Parfait.
Relance USBFix et choisis l'option de désinstallation.
Comment va le PC ?
Poste un nouveau rapport RSIT pour faire le point.
Relance USBFix et choisis l'option de désinstallation.
Comment va le PC ?
Poste un nouveau rapport RSIT pour faire le point.
Et bien le pc a l'air de bien fonctionner, il ne s'arrête plus inopinnément. Je ne constate plus, non plus, l'ouverture de fenêtre.
Je vais laisser le pc inactif pendant un moment pour voir si l'écran bleu apparait toujours.
En tout cas merci pour ton aide.
Voici le dernier rapport RSIT
http://www.cijoint.fr/cjlink.php?file=cj201104/cij7bqx4VZ.txt
Je vais laisser le pc inactif pendant un moment pour voir si l'écran bleu apparait toujours.
En tout cas merci pour ton aide.
Voici le dernier rapport RSIT
http://www.cijoint.fr/cjlink.php?file=cj201104/cij7bqx4VZ.txt
Finalement, après avoir laissé le pc sans activité pendant minutes, l'écran bleu est apparu et j'ai du redemarrer.
Je ne sais pas du tout d'où peut venir ce problème.
Je ne sais pas du tout d'où peut venir ce problème.
Il me faudrait plus d'explications sur cet écran bleu !
Code d'erreur, message d'erreur, ...
Des écrans bleus alias BSOD, il y en a plein :-).
**********
Tu peux désinstaller SpywareTerminator, pas très efficace et passer à la version 6 d'Avast.
Code d'erreur, message d'erreur, ...
Des écrans bleus alias BSOD, il y en a plein :-).
**********
Tu peux désinstaller SpywareTerminator, pas très efficace et passer à la version 6 d'Avast.
Merci pour ton aide :)
Pour l'instant il n'y a pas d'écran bleu , mais si jamais ça recommence, je ne manquerais pas de te tra,smettre cette fois ci les infos importantes, comme le code d'erreur :)
Merci encore
Pour l'instant il n'y a pas d'écran bleu , mais si jamais ça recommence, je ne manquerais pas de te tra,smettre cette fois ci les infos importantes, comme le code d'erreur :)
Merci encore
On n'a pas tout à fait terminé.
Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.
**********
Analyse ce fichier :
Sur le site de Virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.
Poste bien le rapport.
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.
**********
Analyse ce fichier :
C:\Windows\SysWOW64\drivers\agfjtiwi.sys
Sur le site de Virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.
Poste bien le rapport.
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
J'ai cherché ce fichier, mais je ne le trouve pas pourtant j'ai bien suivi le chemin de destination et j'ai affiché les dossiers cachés.
Et ce qu'il a pu être supprimé ?
En ce qui concerne l'écran bleu, cette fois ci il est apparu en pleine activité de l'ordinateur, J'ai pensé à prendre une photo où tu verras je pense tout ce dont tu as besoin (j'espère).
http://www.cijoint.fr/cjlink.php?file=cj201104/cijqftCq93.jpg
Et ce qu'il a pu être supprimé ?
En ce qui concerne l'écran bleu, cette fois ci il est apparu en pleine activité de l'ordinateur, J'ai pensé à prendre une photo où tu verras je pense tout ce dont tu as besoin (j'espère).
http://www.cijoint.fr/cjlink.php?file=cj201104/cijqftCq93.jpg
Heureusement/Malheureusement, je ne pense pas qu'un virus ou autre infection soit à l'origine de tes soucis.
Je te propose de terminer la désinfection et de poser ta question sur le forum Windows ensuite en montrant ton BSOD.
Je pense que ça vient d'un logiciel qui met un peu la pagaille dans ton PC (au pire un driver/pilote).
A partir de quel moment cela te le fait ? Quel est le logiciel que tu serais susceptible d'avoir installé juste avant ? Est-ce que le problème survient lorsque tu lances un logiciel en particulier, ...? Toute information de ce type est bonne à prendre pour espérer résoudre le souci.
*********
Ok pour le fichier.
Je vais te donner un peu de travail pour terminer :
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
**********************
Lance Hijackthis par clic droit, `Exécuter en tant qu'administrateur`.
Il se situe ici :
C:\Program Files (x86)\trend micro\Mina.exe
Clique sur "Do a system scan only".
Coche ces lignes :
Clique ensuite sur "Fix checked".
Ferme Hijackthis.
**************************
La désinstallation de logiciels tels que Spybot n'est pas à négliger je pense.
Je te propose de terminer la désinfection et de poser ta question sur le forum Windows ensuite en montrant ton BSOD.
Je pense que ça vient d'un logiciel qui met un peu la pagaille dans ton PC (au pire un driver/pilote).
A partir de quel moment cela te le fait ? Quel est le logiciel que tu serais susceptible d'avoir installé juste avant ? Est-ce que le problème survient lorsque tu lances un logiciel en particulier, ...? Toute information de ce type est bonne à prendre pour espérer résoudre le souci.
*********
Ok pour le fichier.
Je vais te donner un peu de travail pour terminer :
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
**********************
Lance Hijackthis par clic droit, `Exécuter en tant qu'administrateur`.
Il se situe ici :
C:\Program Files (x86)\trend micro\Mina.exe
Clique sur "Do a system scan only".
Coche ces lignes :
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
Clique ensuite sur "Fix checked".
Ferme Hijackthis.
**************************
La désinstallation de logiciels tels que Spybot n'est pas à négliger je pense.
Il y avait plusieurs éléments infectés, voici le rapport de malwarebyte
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6447
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048
26/04/2011 14:52:44
mbam-log-2011-04-26 (14-52-44).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 442892
Temps écoulé: 1 heure(s), 9 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6447
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048
26/04/2011 14:52:44
mbam-log-2011-04-26 (14-52-44).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 442892
Temps écoulé: 1 heure(s), 9 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\AppData\Local\microsoft\messenger\adresse mail\mypornpics.scr (Trojan.MSIL.ND2) -> Quarantined and deleted successfully.
c:\Users\Mina\Desktop\raccourcis bureau\Keymaker.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Pour le rapport précédent, j'ai du enlever les adresses mails que j'ai remplacé par "adresse mail". Sinon je ne pouvais pas poster le rapport sur le forum.
J'ai lancé Hijack mais je ne trouve pas cette ligne :
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
J'ai lancé Hijack mais je ne trouve pas cette ligne :
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
