Pc infecté de virus?? Résolu/Fermé

Question

Bonjour,  

Depuis une semaine mon pc va très mal, il prens au moin 5 minuttes à démarrer, je ne peux plus ouvrir deux applications en même temps sans qu'un message de windows me dit qu'il à cessé de fonctionner. J'ai souvent un problème de programme qui ne répond pas. J'ai aussi mon écran qui devien complètement blanche sans savoir pourquoi! J'ai pourtant lancé mon antivirus ( McAfee) et il n'a détecté aucuns virus et j'ai même fait un scan avec Malware bytes anti malware mais encore là aucuns résultats! Je ne sais plus quoi faire donc svp aidez moi à régler mon problème!! 
Merci :)  



Configuration: Windows 7 / Internet Explorer 9.0

Lyonnais92 · Accepted Answer

Bonjour,

il est peu probable que les propositions faites suffisent.

===

Pour avoir un diagnostic, fais ceci :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 
 
 (si Cijoint ne fonctionne pas, essaye ici : http://pjjoint.malekal.com/ )

Z.Rizzen · Answer

passe a linux :)
non, sinon as tu essayer de faire tout simplement une défragmentation (Auslogics Disk Defrag, defraggler), Un grand nettoyage avec CCleaner, et pour la route une recherche de spyware avec Spyboot-S&D.
Ce sont des utilitaires qui fonctionne parfaitement bien, essentiel même. Essaye de faire ces trois choses & vois si ça évolue. il arrive que l'ordinateur d'encrasse pour plusieurs raison (accumulations de fichiers, disque dur trop plein,...)

ps: il se peut que la défragmentation soit très longue.

bboyrasta · Answer

je connais pas McAfee et franchement il me plait pas comme antivirus, d'autres vont peut etre dire qu'il est bon, ce n'est que mon avis personel, alors essaye avec un autre antivirus genre avast, tu peux  aussi faire une defragmentation de ton disque dur, ca aide beacoup. essaye aussi un netoyage de base  de registre.

Marie82 · Answer

Pourquoi je vois que j'ai 2 réponses mais je ne suis pas capable de les lires sur cette page??

Marie82 · Answer

Je viens de lire en e-mails les 2 réponses que j'avais reçue plus haut et effectivement mon problème est plus gros que ca et j'avais déjà fait tout se qu'ils m'ont indiqués......Donc je vais téléchargé ZHPDiag et je suis vos instructions MERCI :)

Marie82 · Answer

Voici le rapport effectué

http://www.cijoint.fr/cjlink.php?file=cj201109/cijrfyLXDw.txt

Lyonnais92 · Answer

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

HOSTFix
O20 - AppInit_DLLs: . (...) -   C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll (.not file.)
[HKCU\Software\AppDataLow\Software\searchqutoolbar]
[HKCU\Software\Datamngr]
[HKCU\Software\ilivid]
[HKLM\Software\Bandoo]
[HKLM\Software\DataMngr]
O43 - CFD: 8/17/2011 - 2:26:16 PM - [6326310] ----D- C:\Users\Marie\AppData\Roaming\OpenCandy
O43 - CFD: 8/17/2011 - 4:57:24 PM - [0] ----D- C:\Users\Marie\AppData\Local\OpenCandy 
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} - (Web Search) - http://www.searchnu.com/
[HKLM\Software\WOW6432Node\Classes\AppID\bandoocore.exe]
[HKLM\Software\WOW6432Node\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]
[HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]
[HKLM\Software\WOW6432Node\Bandoo]
[HKCU\Software\DataMngr]
[HKCU\Software\AppDataLow\Software\searchqutoolbar]
[HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy]
C:\Users\Marie\AppData\Roaming\OpenCandy
C:\Users\Marie\AppData\Local\OpenCandy
C:\Users\Marie\AppData\LocalLow\searchquband

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Marie82 · Answer

voici le rapport.....

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\searchqutoolbar
SUPPRIME Key: HKCU\Software\Datamngr
SUPPRIME Key: HKCU\Software\ilivid
ABSENT Key: HKLM\Software\Bandoo
SUPPRIME Key**: HKLM\Software\DataMngr
SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\bandoocore.exe
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}
SUPPRIME Key: HKLM\Software\WOW6432Node\Bandoo
ABSENT Key: HKCU\Software\DataMngr
SUPPRIME Key: HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Marie\AppData\Roaming\OpenCandy
SUPPRIME Folder: C:\Users\Marie\AppData\Local\OpenCandy
SUPPRIME Folder: c:\users\marie\appdata\locallow\searchquband

========== Fichier(s) ==========
ABSENT File: c:\progra~2\wi3c8a~1\datamngr\x64\datamngr.dll
ABSENT Folder/File: c:\users\marie\appdata\roaming\opencandy
ABSENT Folder/File: c:\users\marie\appdata\local\opencandy


========== Récapitulatif ==========
16 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
3 : Fichier(s)


End of the scan in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2011-09-04 15:36:32 [2335]

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

Du mieux ?

Refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

marie82 · Answer

Je répond de mon cellulaire car ça fait 5 minuttes que j'ai redémarré mon pc et l'écran est tout noir :(

Lyonnais92 · Answer

Re,

on attend encore 10 mn.

Ensuite, tu essayes de le démarrer en mode sans échec avec prise en charge réseau.

Marie82 · Answer

il a fini par démarrer....je vous poste le rapport d'ici 2 minuttes

Marie82 · Answer

voilà!

http://www.cijoint.fr/cjlink.php?file=cj201109/cijsdHHcDm.txt

Lyonnais92 · Answer

Re,

relance ZHPFix (clic droit et exécuter en tant qu'administrateur).

Clic sur HOSTFix et répond non quand on te demande si tu veux Quitter.

Relance ZHPDiag et poste le nouveau rapport (toujours clic droit et Exécuter en tant qu'administrateur).

Marie82 · Answer

avec celui-ci cela a fonctionner....

http://pjjoint.malekal.com/files.php?id=ZHPDiag_m7h8v9f13l15e9k9h15x14f6n7b12c12b13u55v7i12e13h12

Lyonnais92 · Answer

Re,

bizarre.

Ouvre C:\Windows\System32\drivers\etc\hosts

Supprime toutes les lignes en dessous de  204.9.178.11 typepad.com

===
Ouvre ce lien 

https://support.kaspersky.com/fr/14421

Fais ce qui est écrit sous La désinfection du système infecté.

Poste le rapport.

Marie82 · Answer

on me demande avec quel programme ouvrir ''hosts''

lequel je choisis?

Lyonnais92 · Answer

Re,

oui, le Bloc Notes c'est très bien pour ce fichier.

Marie82 · Answer

une fois les lignes supprimées, je veux enregister les modifications mais le message suivant apparaît : ''C/windows/systeme32/drivers/etc/hosts.txt
Vous n'avez pas l'autorisation d'écrire à cet emplacement.Consulter l'administrateur pour obtenir l'autorisation....

Lyonnais92 · Answer

Re,

fais la suite, on verra après.

Marie82 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201109/cijD4tP7bw.txt

Lyonnais92 · Answer

Bonjour,

démarre en mode sans échec, choisis la session Administrateur et non ta session normale et recommence la manip de suppression des lignes dans le fichier 

C:\Windows\System32\drivers\etc\hosts


Attention, lors de la sauvegarde , enregistre le bien sans extension

(pas C/windows/systeme32/drivers/etc/hosts.txt

Marie82 · Answer

Cela fait environ 10 minuttes que j'ai cliquer mode sans échec, sur mon ecran il y a des chargements de fichiers Windows et en bas c'est écrit veuillez patienter..... Ça ne bouge pas depuis 10 min.

Lyonnais92 · Answer

Bonjour,

le premier démarrage en sans échec peut être très long (30 mn et plus).

tant que quelque chose bouge, ça avance.

Marie82 · Answer

Est-ce normal?? Après 20 minuttes, l'écran normal pour entrer mon mot de Passe est apparut et d'après moi ce n'était pas en mode sans échec donc j'ai inscrit mon mot de Passe et l'écran est redevenue noire! Après 2 minuttes on me demandait encore en quel mode démarrer le pc donc jai encore cliquer sans échec et encore une fois chargements de fichiers Windows et la mon écran est tout noir....j'attend.....

Marie82 · Answer

Ok jai réussie à supprimer les lignes que vous m'avez dit plus haut dans le hosts...dois-je refaire le scan avec le lien?

Lyonnais92 · Answer

Re,

oui, je voudrais vérifier que la modif du fichier Hosrs est durable.

Donc ZHPDiag et rapport dans un lien (Cijoint ou pjjoint).

Lyonnais92 · Answer

Re,

on s'est mal compris.

Un nouveau scan avec TDSSKiller est inutile.

Refais un scan avec ZHPDiag.

Marie82 · Answer

Mais la j'ai un problème plus gros.....après avoir supprimer les lignes dans le hosts en mode sans échec tantôt,j'ai redémarrer mon pc en mode normal et il ne veut plus s'ouvrir!! J'entre mon mot de Passe et l'écran de bienvenu apparaît mais aussitôt l'écran du mot de passe revient et ainsi de suite depuis 30 minuttes!!!

Marie82 · Answer

voici le rapport effectué en mode sans echec avec prise en charge réseau car je ne peux démarrer en mode normal
...

http://www.cijoint.fr/cjlink.php?file=cj201109/cijom40SbZ.txt

Lyonnais92 · Answer

Re,

essaye en mode sans échec avec prise en charge réseau.

Lyonnais92 · Answer

Re,

remplace tout ton fichier hosts actuel (en session Administrateur en mode sans échec avec prise en charge réseau) par 

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
# Start of entries 

et essaye de redémarrer en mode normal (vérifie que tu n'es pas en mode majuscule).

===

Tu connais Snpzcjagls ?

([HKCU\Software\Snpzcjagls])

Marie82 · Answer

non,ca me dit rien,qu'est-ce que c'est??

Marie82 · Answer

Écran bleu Windows gelé depuis 10 minuttes et plus...

Lyonnais92 · Answer

Re,

tu démarres en mode sans échec (avec ou sans prise en charge réseau).

Tu crées un compte (une session) supplémentaire et tu essayes de démarrer en mode normal dessus.

Marie82 · Answer

Et bien definitivement plus rien ne fonctionne hahaha j'avais enfin pu créer un nouveau compte et ça fait 45 minuttes que j'attend qu'il s'ouvre en mode normal....une chance que j'ai mon cellulaire pour vous écrire!

Lyonnais92 · Answer

Re,

même le mode sans échec ne s'ouvre plus ?

===

Ouvre ce lien :

http://www.chantal11.com/2010/05/windows-7-ne-demarre-plus-reparer-avec-environnement-winre-options-demarrage-avancees/

Fais ce qui est dit sous 

"Accéder à la console WinRE par les Options de démarrage avancées :"

Essaye l'option" Réparation du démarrage".

Marie82 · Answer

Oui le mode sans échec fini par ouvrir après un long moment,je vais prendre avec prise reseau et je vais aller cliquer sur le lien. 
Merci je vous redonne des nouvelles aussitôt fait!!

Marie82 · Answer

Petit problème.....pour réparer le pc on me deman de de choisir quel utilisateur et d'entrer mon mot de Passe mais on me dit que mon de passe est incorecte!!! Pourtant cest bien le bon

Lyonnais92 · Answer

Re,

pas de problème Majus minus ?

Lyonnais92 · Answer

Re,

essaye de faire une restauration système à la dernière date d'ouverture de la session en mode normal :

http://www.chantal11.com/2010/05/restauration-systeme-a-une-date-anterieure-windows-7-8-10/

Marie82 · Answer

Je crois que ma seule solution sera de réinstaller windows :(

Lyonnais92 · Answer

Re,

on en revient à la réparation du démarrage.

As tu essayé avec le mot de passe de la session Administrateur ?

Si il n'y en a pas, fais seulement Entrée.

Marie82 · Answer

La réparation n'à détecté aucunes erreurs

Lyonnais92 · Answer

Re,

toujours en démarrant sur les options avancées,

que donne "Dernière configuration valide connue" ?

Lyonnais92 · Answer

Re,

tu fais comme si tu voulais démarrer en mode sans échec.

Sur l'écran tu dois avoir cette option.

Marie82 · Answer

Non...il y a seulement
-mode sans échec
- avec réseau
- invitation de commande
- normalement

Lyonnais92 · Answer

Re,

tout s'ouvre en mode sans échec et rien en mode normal ?

même une nouvelle session (sans mot de passe) ?

Lyonnais92 · Answer

Re,

fais tourner ZHPDiag en mode sans échec (avec prise en charge réseau) sur ta session normale.

Marie82 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201109/cijYDsAMPp.txt

Lyonnais92 · Answer

Bonjour,

à ce stade :

- as tu une sauvegarde de tes fichiers personnels

- une sauvegarde du source de tes programmes

- le DVD de Windows ?

Marie82 · Answer

J'ai commander un disque dur externe sur internet hier, des que je vais le recevoir je vais tranférer mes choses dessus et ensuite je vais réinstaller Windows....est-ce un virus?

Lyonnais92 · Answer

Bonjour,

c'est certainement un malware (le fichier Hosts ne s'est pas modifié tout seul).

Mais je n'ai pas trouvé d'autres traces d'infection :

- ton Av n'a rien trouvé

-MBAM non plus

- ni TDSSKiller

- ni un analyseur généraliste (ZHPDiag).

Je vais continuer à chercher en attendant.

As tu la possibilité de graver un CD ?

Marie82 · Answer

J'ai trop de chose à tranférer,je vais attendre de recevoir mon disque dur d'ici quelques jours...

Lyonnais92 · Answer

Re

ce n'est pas pour sauvegarder, c'est pour utiliser un outil sur un live CD.

Lyonnais92 · Answer

Re,

as tu un fichier c_7265211.nls

dans C:\Windows\system32 (il faut afficher les fichiers cachés y compris les fichiers système) ?

Marie82 · Answer

Je travail tout les jours jusqu'à 16h30 et je crois que nous avons 6 h de decalage...donc ça va être un peu plus dur de faire ça en directe mais je suis patiente :)

Lyonnais92 · Answer

Re,

tu as pu regarder pour le fichier ?

Marie82 · Answer

non,je n'ai pas ce fichier

Marie82 · Answer

Voilà,j'ai réinstallé windows et mon pc m'a dit merci hahaha

Marie82 · Answer

Merci beaucoup d'avoir pris votre temps avec mon problème,vous avez été très patient!! :)

Lyonnais92 · Answer

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

En plus, je n'ai pas vraiment réussi.