Un joli écran noir + fichiers invisibles Fermé

Question

Bonjour,
Je tourne sur windows vista  et j'ai un problème d'affichage.  
Un joli écran noir sans icones et je n'ai plus la liste des derniers logiciels utilisés lorsque j'appuie sur la fenêtre Windows. Les quelques fonctions/logiciels en accès rapide vers cette fenêtre (en bas à gauche : bureau,...) se sont aussi fait la malle. 

Ce qui me dérange le plus avant de formater c'est que j'ai des fichiers avec des données qui sont invisibles (pro/perso).
J'arrive à retrouver mes fichiers « invisibles » au travers la fonction rechercher, je peux les ouvrir mais pas le dossier contenant ce fichier.

En me baladant sur les forums j'ai vu que l'on parlait de cmd/explorer.exe, de virus et aussi de registres.
Lorsque je demande HKEY dans la fonction rechercher, windows me dit que la recherche peut être longue dans les emplacements non indexés. Sur cette même recherche, Windows me demande d'ajouter à l'index  ou de modifier les emplacements existants de l'index.  Je ne comprends pas. il veut quoi??

J'utilise MAM et avast.

Je vous laisse les derniers rapports de scan(MAM ). 
Merci d'avance pour votre aide.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6506
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406
05.05.2011 05:00:06
mbam-log-2011-05-05 (05-00-06).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 396182
Temps écoulé: 5 heure(s), 7 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{B922D405-6D13-4A2B-AE89-08A030DA4402}\COMPONENTS\PDFFORGETOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: PDFFORGETOOLBARFF.DLL -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\extensions\{b922d405-6d13-4a2b-ae89-08a030da4402}\components\pdfforgetoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\Users\User\AppData\LocalLow\Sun\Java\deployment\cache\6.0\13\7312008d-76263a06 (Trojan.Dropper) -> Quarantined and deleted successfully.






Configuration: Windows Vista / Firefox 3.6.17

gen-hackman · Answer

salut 

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

jess · Answer

ok.
Super, Merci Doc.
je viens de récupérer mes fichiers "invisibles", mais je n'ai toujours pas les icônes logiciels sur le bureau ni même les derniers logiciels utilisés dans Windows.

J'ai peut etre fait une boulette en lançant préscan en mode avec le proxy. Je l'ai relancé aussi tôt en mode sans proxy.

Voici le lien pour le rapport. ( j'ai l'impression qu'il n'a été créé que lors du premier passage de préscan)
http://www.cijoint.fr/cjlink.php?file=cj201105/cijopF69UH.txt

Que dois je faire Doc?

en tout cas merci beaucoup pour l'efficience de cette première réponse.

Jess

gen-hackman · Answer

ok dis-moi ce que contient le dossier C:\Kill'em\quarantine

jess · Answer

un dossier vide qui s'appelle : ptdoownload00000384.tmp

Je le supprime?

gen-hackman · Answer

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : télécharger la derniere version

&#9654 relance-le 

choisis : lancer le nettoyage

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

jess · Answer

ok.   
0 fichiers trouvés.  
Le fichier en quarantaine existe toujours. Je ne vois toujours pas les derniers logiciels utilisés, les raccourcis logiciels sur mon bureau et les raccourcis (type : bureau (vers la fenêtre windows, en bas à gauche)).  

Que dois je faire?  

tu veux quand même l'intégralité du rapport ou.. les infos suivantes te parlent assez?   

2011/05/05 14:40:25.0056 2708 TDSS rootkit removing tool 2.5.0.0 May  1 SystemInfo:  
2011/05/05 14:40:25.0620 2708   
2011/05/05 14:40:25.0620 2708 OS Version: 6.0.6002 ServicePack: 2.0  
2011/05/05 14:40:25.0620 2708 Product type: Workstation  
2011/05/05 14:40:25.0620 2708 ComputerName: PC-DE-USER  
2011/05/05 14:40:25.0620 2708 UserName: User  
2011/05/05 14:40:25.0620 2708 Windows directory: C:\Windows  
2011/05/05 14:40:25.0620 2708 System windows directory: C:\Windows  
2011/05/05 14:40:25.0620 2708 Processor architecture: Intel x86  
2011/05/05 14:40:25.0620 2708 Number of processors: 2  
2011/05/05 14:40:25.0621 2708 Page size: 0x1000  
2011/05/05 14:40:25.0621 2708 Boot type: Normal boot  
Initialize success  
Scan started  
2011/05/05 14:40:58.0313 6060 Mode: Manual;   
2011/05/05 14:40:58.0985 6060 Accelerometer   (3b10711ad8656c097e0d16a41b29c54c) C:\Windows\system32\DRIVERS\Accelerometer.sys  
.......  
2011/05/05 14:43:02.0757 5740 ZTEusbser6k     (4692a3e087cf018808f376a3cc2128fa) C:\Windows\system32\DRIVERS\ZTEusbser6k.sys  
2011/05/05 14:43:02.0975 5740 {55662437-DA8C-40c0-AADA-2C816A897A49} (bdfde977f5e88a539187aef24ded7c40) C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl  
2011/05/05 14:43:03.0027 5740 ================================================================================  
2011/05/05 14:43:03.0027 5740 Scan finished  
2011/05/05 14:43:03.0027 5740 ================================================================================  
2011/05/05 14:44:01.0234 5348 Deinitialize success 

Jess

gen-hackman · Answer

t'as pas cliqué sur "start scan là ! "

jess · Answer

euhh.. dans l'appli tdsskiller?
il me dit 0 fichiers inféctés.
le rappport est disponible à l'adresse suivante:
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
jess

gen-hackman · Answer

fichier non accessible....

jess · Answer

http://www.cijoint.fr/cjlink.php?file=cj201105/cij5ZioLse.txt

gen-hackman · Answer

lol oui et en bas de la fenetre y'a un gros bouton ou y'a écrit "Start Scan"

jess · Answer

oupss! 

http://www.cijoint.fr/cjlink.php?file=cj201105/cijEsVCc0t.txt

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

jess · Answer

extras:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijM0WPx7q.txt

otl:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijgtuQk76.txt

gen-hackman · Answer

t'as pas suivi la config recommence !

jess · Answer

bien vu, désolé.

extras:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijHJnnKMQ.txt
otl:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijgsQxHbG.txt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\System32\BF246D2ECD.sys            

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
DRV - File not found [Kernel | System | Stopped] --  -- (MpKsla7bc4979)
DRV - File not found [Kernel | System | Stopped] --  -- (MpKsl0e493a5d)
FF - prefs.js..network.proxy.http: "127.0.0.1"      
FF - prefs.js..network.proxy.http_port: 50929      
FF - prefs.js..network.proxy.type: 4      
[2009.09.29 00:41:41 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\Program Files\mozilla firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
[2009.09.29 00:41:42 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\Program Files\mozilla firefox\extensions\search@searchsettings.com   
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (Google Inc.) 
O3 - HKU\S-1-5-21-1447396730-3876882847-2016130857-1000\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (Google Inc.)  
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)  
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)    
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)   
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
"ControlCenter3"=-
"HP Software Update"=-
"IndexSearch"=-
"PaperPort PTD"=-
"SSBkgdUpdate"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-

:Files
C:\ProgramData\mFg06511hBeAi06511      
C:\ProgramData\44031752    
C:\ProgramData\zN98zz1QY29M3E      
C:\ProgramData\LC0uodswcci      
C:\ProgramData\T7vRWJiZAscgly      
C:\ProgramData
bugvVYMU      
C:\ProgramData\Dje1PiqFOSP      
C:\ProgramData\HzecVnEMOI      
C:\Users\User\AppData\Roaming\4E32.724      

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

jess · Answer

ok, 
je viens d'afficher tous les dossiers(y comris les cachés) et je ne ne trouve pas le fichier BF246D2ECD.sys, ni même le fichier KGyGaAvL.sys, tout deux mentionnés dans le rapport OTL. 
Windows me dit qu'il les trouve dans le fichier otl seulement. Il me dit aussi que la recherche peut être lente, il me propose de l'indexer. 

Que se passe t il? 

Jess

gen-hackman · Answer

fais la suite

jess · Answer

je viens de relancer le pc , j'ai du le rebooter manuellement. Il tournait dans le vide.  
Le pc est un peu plus long à démarrer et sur le bureau j'ai le fichier desktop.ini.  
son contenu est le suivant:  

[.ShellClassInfo]  
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769  
IconResource=%SystemRoot%\system32\imageres.dll,-183  

j'ai fait analysé le fichier C:\Windows\System32\BF246D2ECD.sys. 0 fichiers infectés.   
voici le lien:  
http://www.virustotal.com/...

Les logiciels dans la fenetre windows ne sont pas revenus.  
Que faire?

gen-hackman · Answer

ressaie en mode sans echec

jess · Answer

Hello,
c'est fait, il  a réussi en mode sans echec.
J'ai du renommé le .log en .txt. Voici l'adresse de ce doc.

http://www.cijoint.fr/cjlink.php?file=cj201105/cijyZtFcPB.txt

que dois je faire?

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

jess · Answer

ok.
j'ai déjà installé ce logiciel.
 Avant de refaire une MAJ, je t'envoie les derniers compte rendu des scans:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijMuG7FfV.txt

http://www.cijoint.fr/cjlink.php?file=cj201105/cijBEPT7tD.txt

http://www.cijoint.fr/cjlink.php?file=cj201105/cij9qFqrbt.txt

Je vais aussi supprimer les 3 fichiers en quarantaine dont un .dll sur les components PDF qui modifie un registre(hkey_local_machine).

Je le ferrai tourner cette nuit pour le scan complet.

gen-hackman · Answer

ok :)

jess · Answer

pas cool, il n'a rien trouvé. 0 fichiers infectés. 
je vais réinstallé mbam et refaire tourner le pc 3h.  
Est ce que mbam est vérolé?  
Pourquoi est ce que je vois la liste des programmes dans la fenêtre windows et non les derniers logiciels utilisés? 
Je n'ai pas les accès rapide en bas à droite type : bureau

gen-hackman · Answer

Est ce que mbam est vérolé? 

comprends pas la question :)

Pourquoi est ce que je vois la liste des programmes dans la fenêtre windows et non les derniers logiciels utilisés?
Je n'ai pas les accès rapide en bas à droite type : bureau

parce que l'infection a supprimé les raccourcis

jess · Answer

Si j'en crois Malwarebyte's, mon PC est propre. Est ce que je devais faire l'analyse en mode sans echec?
Pourquoi mes raccourcis ne sont pas revenus?
Que dois je faire?

gen-hackman · Answer

hello j'ai pas lu le dernier rapport de malwarebytes

jess · Answer

voici le dernier rapport:  

http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ88QXwA.txt

gen-hackman · Answer

pour tes raccourcis , le mieux que je puisse te proposer est que tu fasses des raccourcis de tes dossiers dans program Files et que tu colles ces raccourcis dans un dossier pour l instant , ensuite je te dirai ou les pacer

jess · Answer

tu veux dire que mon PC n'est pas encore propre et que c'est pour ca que ces liens ne sont pas visibles?

jess · Answer

Quel est le moyen de remettre l'ensemble des icônes par défaut sans galérer à la main?
Je suppose qu'il y a deux emplacement distincts à remettre à jour, type :
C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch

jess · Answer

ca y est j'ai réussi, il a fallu recréer bureau.scf et de remettre à jour les champs de l'onglet Menu démarrer dans propriété. 

pourquoi est ce qu'un certain nombre de fichier était devenu des fichiers cachés?  
Coïncidence ou pas, c'est une partie (aléatoire) des données que j'ai récupéré sur d'autres disques. 

Est ce que je peux faire un back up de mon pc sur un disque externe en me disant qu'il est clean?

gen-hackman · Answer

il a fallu recréer bureau.scf et de remettre à jour les champs de l'onglet Menu démarrer dans propriété.

??????????

Un joli écran noir + fichiers invisibles

35 réponses

Discussions similaires

Newsletters