Please wait while the connection... Fermé

Question

Bonjour à tous, 

Je viens d'attraper un virus sur mon ordinateur portable. Quand je l'allume, celui-ci affiche un écran blanc avec "Please wait while the connection is beeing established" (avec des fautes d'orthographes de leur part..) et le même message en dessous d'une autre langue (allemand je suppose) 

J'ai essayé de régler le problème en appuyant sur F8 et en essayant les modes sans échec etc... mais le message s'affiche quand même et je ne peux rien faire. 

S'il vous plait, comment faire pour m'en débarrasser ?

juju666 · Answer

Salut,

Hello 

telecharge ici :  OTLPE sous environnement windows 7 

grave-le en tant que fichier image 

Comment faire ? :  Graver une image disque 

ensuite change le demarrage de ton pc malade en mettant le cd en premier demarrage dans le bios 

comment Faire ? :  Modifier la sequence de demarrage de l'ordi  

demarre le pc malade sur le cd.

Laisse faire jusqu'à l'affichage complet du bureau

normalement FirefoxPortable te permet de venir lire la suite

Lance OTLPE.exe qui se trouve sur ton bureau :

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok 

à la question Do you wish to load remote user profile(s) for scanning ? => oui

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre

dans la case en dessous "Custom Scans/Fixes" colle ce texte :

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

Clic sur Analyse.

A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt

héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)

A+

Alduros · Answer

Bonjour à vous, j'ai le même problème depuis hier soir étonnamment avec ce même écran blanc . Je possède Bitdefender 2012 pourtant et hier soir il m'a détecté une attaque de trojan venant d'un hébergeur de liens à mon avis et qui a infecté le registre.

Je suis donc moi aussi à la recherche d'une aide car là j'avoue qu'il m'a bien eu. Je vais voir pour appliquer la solution que tu nous donnes même si c'est assez complexe sans connaissances du BIOS.
Quel genre de programme est ce " OTLPE " ? Jamais entendu parlé .

quentin64 · Answer

bonjour,


J'ai le même soucis depuis hier soir et rien a faire, même en mode sans echec sans prise en charge du reseau, je vais devoir mettre mon disque en esclave pour recuperer mes fichiers et formater :(

Gaby211 · Answer

Je suis désolé mais je ne comprends rien aux explications...
L'informatique n'est pas trop mon fort..

Comment graver le fichier sur le CD ?

Gaby211 · Answer

C'est bon j'ai réussi, mais ou se trouve le bouton Analyse sur le fichier OTLPE ?

L'ordi me dit aussi que le fichier OTLPE.exe est endommagé et illisible..

Gaby211 · Answer

C'est bon j'ai mes deux liens OTL.txt et Extra.txt, mais je n'ai pas accès à internet par contre.. Qu'est-ce que je dois faire ?
Comment mettre les liens sur le site ?

Et ce que ça enlèvera le virus de mon ordinateur ?

juju666 · Answer

Bonjour, 

@Gaby211 :  
Normalement, si tu es sur l'environnement Windows 7 sur le CD, tu as Firefox Portable, qui te permet de naviguer sur internet et d'héberger tes rapports, et de coller les liens obtenus ici ! 
 
@ tous les autres : 
Ouvrez votre sujet !!! Je ne peux pas aider 38 personnes sur le même sujet en même temps, de plus ça pourrait porter des confusions, merci de votre compréhension ! 
 .::. Contributeur Sécurité .::.

Gaby211 · Answer

J'ai FirefoxPortable mais c'est comme si internet ne marchait pas.. Alors que mon réseau fonctionne.

juju666 · Answer

Et là tu parles comment, tu as un autre pc ? 

Si oui ben transfère tes rapports en usb :)

Du pc malade, sous l'environnement Windows 7 sur CD, tu envoie les rapports sur clé usb, puis sur l'autre pc tu héberge les rapports et me colle les liens ici ;)

Gaby211 · Answer

C'est bon j'ai utilisé les cables ethernet mais ça rame beaucoup. Je vous mets au courant dans un instant.

juju666 · Answer

no probleme :)

Gaby211 · Answer

Fichier Extra.txt : http://pjjoint.malekal.com/files.php?read=OTL_Extras_20120314_b13u5n5x127

Fichier OTL.txt : http://pjjoint.malekal.com/files.php?read=OTL_20120314_q12h6j6q7l5

juju666 · Answer

Ok ok j'ai vu la merdasse :p

pas gêné il se lance de plein d'endroits différents, nottamment la clé winlogon\shell et winlogon\userinit voilà pourquoi ça démarre même en sans échec.

j'ai jamais croisé ça, ça à l'air nouveau ^^

Relance OTL et copie ceci dans Custom Scans/Fixes :

:OTL
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Documents and Settings\User\Application Data\flint4ytw.exe (All Alex,Inc)    
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\User\Application Data\flint4ytw.exe) - C:\Documents and Settings\User\Application Data\flint4ytw.exe (All Alex,Inc)      
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\User\Application Data\flint4ytw.exe) - C:\Documents and Settings\User\Application Data\flint4ytw.exe (All Alex,Inc)      
O20 - HKU\User_ON_C Winlogon: Shell - (C:\Documents and Settings\User\Application Data\flint4ytw.exe) - C:\Documents and Settings\User\Application Data\flint4ytw.exe (All Alex,Inc)      
O20 - HKU\User_ON_C Winlogon: UserInit - (C:\Documents and Settings\User\Application Data\flint4ytw.exe) - C:\Documents and Settings\User\Application Data\flint4ytw.exe (All Alex,Inc) 
     
clique sur le bouton Run Fix . 

Une fois le traitement achevé, redémarre la machine et ça devrait repartir sans le message qui t'importune au lancement de ta bête.

/!\ J'ai décelé d'autres infections sur ta station, donc ne pars pas tout de suite, y'aura d'autres choses à faire après /!\

Gaby211 · Answer

ça fonctionne merci !! :) Par contre il n'y a plus d'icônes sur mon bureau.. Vous savez comment je peux les remettre, ça me perturbe un peu ! x)

Haha oui j'allais demander des conseils sur le site pour renforcer la sécurité de mon ordi, j'ai déjà eu deux autres virus ce mois-ci ! :(
J'écoute vos instructions ! :)

juju666 · Answer

Possible que ça soit un effet indésirable du malware mais elles doivent pas être loin tes icônes.

Télécharge roguekiller : https://www.luanagames.com/index.fr.html
Clique sur Scan et poste moi le rapport qui sera déposé à côté de l'exécutable.

Puis tu clique sur Racc. RAZ et tu poste le second rapport.

Et ne touche pas aux autres options pour le moment

Gaby211 · Answer

Voila :

DIR: $NtUninstallKB975562$ -> Attributes restored
DIR: $NtUninstallKB975713$ -> Attributes restored
DIR: $NtUninstallKB977816$ -> Attributes restored
DIR: $NtUninstallKB977914$ -> Attributes restored
DIR: $NtUninstallKB978037$ -> Attributes restored
DIR: $NtUninstallKB978338$ -> Attributes restored
DIR: $NtUninstallKB978542$ -> Attributes restored
DIR: $NtUninstallKB978601$ -> Attributes restored
DIR: $NtUninstallKB978695_WM9$ -> Attributes restored
DIR: $NtUninstallKB978706$ -> Attributes restored
DIR: $NtUninstallKB979309$ -> Attributes restored
DIR: $NtUninstallKB979402_WM9L$ -> Attributes restored
DIR: $NtUninstallKB979482$ -> Attributes restored
DIR: $NtUninstallKB979559$ -> Attributes restored
DIR: $NtUninstallKB979683$ -> Attributes restored
DIR: $NtUninstallKB980195$ -> Attributes restored
DIR: $NtUninstallKB980218$ -> Attributes restored
DIR: $NtUninstallKB980232$ -> Attributes restored
DIR: $NtUninstallKB981350$ -> Attributes restored
DIR: $NtUninstallKB981793$ -> Attributes restored
DIR: $NtUninstallKB982381$ -> Attributes restored
DIR: inf -> Attributes restored
DIR: Installer -> Attributes restored
DIR: $PatchCache$ -> Attributes restored
DIR: Managed -> Attributes restored
DIR: 68AB67CA7DA76301B7449A0400000010 -> Attributes restored
DIR: 9.4.0 -> Attributes restored
DIR: Application Data -> Attributes restored
DIR: Local Settings -> Attributes restored
DIR: Application Data -> Attributes restored
DIR: Modèles -> Attributes restored
DIR: Recent -> Attributes restored
DIR: SendTo -> Attributes restored
DIR: Voisinage d'impression -> Attributes restored
DIR: Voisinage réseau -> Attributes restored
DIR: dllcache -> Attributes restored
--- [D:] \Device\CdRom0 -- 0x5 --> Skipped. ---

juju666 · Answer

manque RKReport[1]

Gaby211 · Answer

Comment ?

juju666 · Answer

Si tu as bien suivi ma procédure ici : https://forums.commentcamarche.net/forum/affich-24703916-please-wait-while-the-connection#15

Clique sur Scan et poste moi le rapport qui sera déposé à côté de l'exécutable.
ça te donne RKReport1

Puis tu clique sur Racc. RAZ et tu poste le second rapport. 
ça donne RKReport2  que tu m'as posté, encore une fois le "2" est là uniquement si tu as fait dans l'ordre que je t'ai indiqué.

T'as retrouvé tes raccourcis du bureau ?

Gaby211 · Answer

Quand je fais "scan", je dois faire "Rapport" et le copier-coller ici si j'ai bien compris ?

juju666 · Answer

yes :)
mais si tu as cliqué sur Scan y'a le rapport qui s'est déposé à côté de l'exécutable de roguekiller hein ^^

Gaby211 · Answer

Avec "Scan" :

RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Recherche -- Date: 14/03/2012 20:59:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : K3aRyluP6SiCkoR (C:\Documents and Settings\User\Application Data\flint4ytw.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1960408961-920026266-839522115-1004[...]\Run : K3aRyluP6SiCkoR (C:\Documents and Settings\User\Application Data\flint4ytw.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Winlogon : Shell (c:\documents and settings\user\application data\flint4ytw.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1960408961-920026266-839522115-1004[...]\Winlogon : Shell (c:\documents and settings\user\application data\flint4ytw.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[41] : NtCreateKey @ 0x8056EA01 -> HOOKED (Unknown @ 0xF7FFC7A6)
SSDT[53] : NtCreateThread @ 0x8057C713 -> HOOKED (Unknown @ 0xF7FFC79C)
SSDT[63] : NtDeleteKey @ 0x80594F21 -> HOOKED (Unknown @ 0xF7FFC7AB)
SSDT[65] : NtDeleteValueKey @ 0x8059295F -> HOOKED (Unknown @ 0xF7FFC7B5)
SSDT[98] : NtLoadKey @ 0x805AFE1E -> HOOKED (Unknown @ 0xF7FFC7BA)
SSDT[122] : NtOpenProcess @ 0x80572F6E -> HOOKED (Unknown @ 0xF7FFC788)
SSDT[128] : NtOpenThread @ 0x8058FCDD -> HOOKED (Unknown @ 0xF7FFC78D)
SSDT[193] : NtReplaceKey @ 0x8064D97E -> HOOKED (Unknown @ 0xF7FFC7C4)
SSDT[204] : NtRestoreKey @ 0x8064C488 -> HOOKED (Unknown @ 0xF7FFC7BF)
SSDT[247] : NtSetValueKey @ 0x80573EF5 -> HOOKED (Unknown @ 0xF7FFC7B0)
SSDT[257] : NtTerminateProcess @ 0x805849B4 -> HOOKED (Unknown @ 0xF7FFC797)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD800UE-22HCT0 +++++
--- User ---
[MBR] 8215305468cfa9299e114615ccfc8dd0
[BSP] 9fcafbe3c4553e8444c9633934f6a1a3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76316 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Gaby211 · Answer

Et le 2ème :

RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 14/03/2012 21:07:10

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 1 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 2 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt

juju666 · Answer

bah tu vois :)

Tu peux faire l'option suppression ;)
Si elle est grisée, refais un scan avant.

Puis poste le rapport et redémarre la machine, les icones devraient revenir.

Gaby211 · Answer

RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Suppression -- Date: 14/03/2012 23:01:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : K3aRyluP6SiCkoR (C:\Documents and Settings\User\Application Data\flint4ytw.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Winlogon : Shell (c:\documents and settings\user\application data\flint4ytw.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[41] : NtCreateKey @ 0x8056EA01 -> HOOKED (Unknown @ 0xF7FFC7A6)
SSDT[53] : NtCreateThread @ 0x8057C713 -> HOOKED (Unknown @ 0xF7FFC79C)
SSDT[63] : NtDeleteKey @ 0x80594F21 -> HOOKED (Unknown @ 0xF7FFC7AB)
SSDT[65] : NtDeleteValueKey @ 0x8059295F -> HOOKED (Unknown @ 0xF7FFC7B5)
SSDT[98] : NtLoadKey @ 0x805AFE1E -> HOOKED (Unknown @ 0xF7FFC7BA)
SSDT[122] : NtOpenProcess @ 0x80572F6E -> HOOKED (Unknown @ 0xF7FFC788)
SSDT[128] : NtOpenThread @ 0x8058FCDD -> HOOKED (Unknown @ 0xF7FFC78D)
SSDT[193] : NtReplaceKey @ 0x8064D97E -> HOOKED (Unknown @ 0xF7FFC7C4)
SSDT[204] : NtRestoreKey @ 0x8064C488 -> HOOKED (Unknown @ 0xF7FFC7BF)
SSDT[247] : NtSetValueKey @ 0x80573EF5 -> HOOKED (Unknown @ 0xF7FFC7B0)
SSDT[257] : NtTerminateProcess @ 0x805849B4 -> HOOKED (Unknown @ 0xF7FFC797)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD800UE-22HCT0 +++++

juju666 · Answer

icônes de retour ? :)

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

letmoi · Answer

Bonjour,

J'ai le même problème mais je suis sous xp est-ce que je peux faire cette procédure avec otl et ouvrir sans doute un autre sujet?

Mothy34 · Answer

Bonjour, j'ai fait le scan avec OTLPE et j'ai obtenu ces 2 rapports. Que dois-je faire ensuite?

fichier OTL: http://pjjoint.malekal.com/files.php?read=20120319_x8g14i12y11f12

fichier Extra: http://pjjoint.malekal.com/files.php?read=20120319_q6q10d5y10h14

Merci

Please wait while the connection...

28 réponses

Discussions similaires