Pc blue's Résolu/Fermé

Question

Bonjour,  

Mon neveu  qui est en longue maladie n'a que ses jeux pour s'occuper. Il a un bon pc avec  antivirus et pare-feu   mais je pense qu'il a attrapé un virus vu que son pc bugue sans arrêt. (écran bleu).  Je viens de lui faire un ZHPDiag  dont voici le lien : 
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120405_b9z7k12p9g5 

Un grand merci pour votre aide. 




Windows 7

sherred · Answer

bonjour

effectivement , mais faut arrêter les cracks si tu veux pas etre infecté

enfin

Télécharge combofix.exe   sur ton bureau
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


 double clique combofix.exe. 
 touche 1 (Yes) pour démarrer le scan. 
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 
Le rapport se trouve également ici : C:\Combofix.txt 

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse


durant la durée de l'analyse ne te sert pas de ton pc 


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares

Ordy · Answer

Bonsoir Sherred, 

Merci de votre réponse. 
Il a téléchargé des jeux du frère d'un copain à lui, d'après ce que j'ai compris. C'est un univers qui me dépasse, je suis d'une autre génération.    

Voici le rapport demandé.  
http://pjjoint.malekal.com/files.php?id=20120405_d9h10k12d6z8 
  
Je pensais avoir bien suivi vos instructions, pourtant  depuis  plus aucun des raccourcis ne marchent, est-ce normal ? Comment les récupérer? Merci encore de votre aide.

sherred · Answer

une autre génération ?   lol  j'ai 53 ans

le pc est envahis de cracks  et ne viennent pas d'un copain
mais de  PeerToPeer 
je ne suis pas là pour donner des leçons de morale
simplement , il faut faire attention !


pour les raccourcis :

Appuyer sur la touche "Windows" et sur la touche "R" (La touche Windows étant le drapeau sur votre clavier).
 Dans la fenêtre qui vient de s'ouvrir écrivez "Regedit"
 Déroulez le registre jusqu'à la clé :

HKEY_CURRENT_USER
puis  Software
puis Microsoft
puis Windows
puis CurrentVersion
puis Explorer
puis FileExts    et .lnk

Supprimez le dossier nommé "UserChoice".
Redémarrez le pc ,     les raccourcis fonctionnent.
ensuite :
Télécharge AdwCleaner (de Xplode) sur ton Bureau.
 http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
* Lance le, clique sur Suppression puis patiente le temps du scan. 
* Une fois le scan terminé, un rapport s'ouvrira : poste le dans ta prochaine réponse.

Ordy · Answer

Quand je parlais d'une autre génération, je parlais de mon neveu, fils d'un frère de 20 ans mon cadet. Moi, je  suis retraité  et j'ai eu mon premier pc, il y a un an, pour mon départ en retraite ! Donc le neveu m'a baladé,  Je vais potasser cracks et peer to peer, histoire de lui montrer que Tonton n'est pas dupe ! Pour ce qui est des racourcis, on a  fait exactement comme indiqué mais pas de dossier userchoice en lnk. (j'ai vu qu'il y avait un dossier du même nom sous d'autres extensions en particulier un dans .klm ?) donc toujours pas de raccourcis, ceux sur le bureau ne marchent pas non plus et pas pu ouvrir adwcleaner. Que  faut-il faire maintenant ? Encore merci pour l'aide apportée.

sherred · Answer

on va essayer plusieurs solutions 

Va sur ce lien http://www.dougknox.com/xp/file_assoc.htm 
 et télécharge le fichier suivant 
 LNK (Shortcut) File Association Fix  
 et exécute le 
redemarre le pc 

Zhpfix permet aussi de restituer des fichiers cachés par des infections via l'option Hiddenfix:  
tu a deja le racoucis sur ton bureau , mais si il ne fonctionne pas Télécharge le a nouveau   Zhpfix ici: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html  
 lancez le  
 Choisis l'option HiddenFix 

dans tous les cas , faire ce qui suit  

Désactivez vos protections puis enregistrez ceci sur votre bureau  
 Téléchargez Pre_Scan ici: http://sd-4.archive-host.com/membres/up/829108531491024/Pre_Scan.exe 
 Transférez le logiciel sur le bureau si il n'a pas été enregistré sur votre bureau 


 Avertissement: Il y aura une extinction courte du bureau --> pas de panique.  
 une fois téléchargé sur le bureau, lancez-le , laissez faire l'analyse jusqu'à l'apparition de "Pre_scan.txt" poste le rapport sur le forum 

 Il se peut que l'outil soit un peu long sur l'attribution des fichiers (tout dépend du nombre) , laissez-le travailler jusqu'au bout.  

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"  

si l'outil est bloqué par l'infection utilise cette version renommée winlogon.exe :  

http://sd-4.archive-host.com/membres/up/829108531491024/winlogon.exe 
Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

Ordy · Answer

Impossible de faire quoique ce soit. J'ai juste pu télécharger et ensuite impossible d'ouvrir. A chaque fois, un message me dit que windows ne trouve pas l'accès et que je n'ai pas peut-être pas l'autorisation. Pour la 1ère solution, il ne trouve peut-être pas l'accès parce que le pc est W7 et que les propositions semblent être pour W xp mais pour les autres, ça ne s'ouvre pas plus. Quant aux droits, je suis bien dans la session de mon neveu avec ses droits d'administrateur et pas dans une session invité.  
J'attends tes lumières pour sortir de l'impasse. Encore merci.

sherred · Answer

desolé c'est ma faute
Le compte Administrateur créé lors de l'installation de W7 n'octroie pas les droits suprêmes à l'utilisateur par mesure de sécurité.

si le compte G-admin n'est pas activé
Activer le compte Grand Administrateur :
Dans Démarrer , cliquer sur Panneau de configuration, puis sur Système et Sécurité.
Cliquer sur Outils d'administration, puis sur Statégie de sécurité locale
Puis sur Statégies locales et cliquer sur Options de sécurité
Dans le volet de droite, double- clic sur Comptes : statut du compte Administrateur et sur l'onglet Paramètre de sécurité locale, cocher Activé, puis Appliquer

ensuite
faire un clic droit sur le programme a exécuter et choisir "exécuter en tant qu'administrateur "

fait le Pre_scan.txt comme décrit plus haut

Ordy · Answer

C'était bien ça. J'ai suivi tes instructions et cette fois, ça a fonctionné. Voici le lien :    
http://pjjoint.malekal.com/files.php?id=20120411_j5s8x6h12e5    
Merci et bonne journée.   

Ps : Comment fait-on  un lien sur ce forum ? J'ai essayé avec [url]... /url,  sans succès. A chaque fois, les crochets du deuxième ne sont pas pris en compte . J'ai beau les mettre, ça ne fonctionne pas ??? (cf ci-dessus)

Ordy · Answer

Bonjour Sherred, vous m'excuserez de répondre avec lenteur mais je suis  bien occupé ces jours-ci avec les petits-enfants que nous avons souvent durant les vacances scolaires et le neveu à la maison le temps du traitement. Il attend le pc avec impatience mais je lui ai dit comme un pro qu'on ne me la faisait pas et que ça lui servirait de leçon de patienter un peu.

J'ai donc suivi vos instructions, j'ai désinstallé Spybot et j'ai fait un scan avec Malwarebytes. Tout est à 0 et aucun nuisible à signaler. En plus, les raccourcis remarchent. Le problème est-il  résolu ? En tous cas, un grand merci pour l'aide apportée. Je pense que je vais en effet m'inscrire, comme çà s'il y a un problème, je pourrai vous envoyer un message privé, si vous n'y voyez pas d'inconvénient.

sherred · Answer

si tout fonctionne , c'est bien 

supprime les logiciels que tu n' a plus besoin 
comme combofix

car ils peuvent etre dangereux , si mal utilisé

de plus ils sont remis a jour en fonction de l'évolution des virus 

pour supprimer les outils de désinfection et les rapports inutiles : 

télécharge Delfix de Xplode 

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

choisis SUPPRESSION

Ordy · Answer

Voilà qui est fait. J'ai une question qui vous paraitra  sans doute basique, comme les questions que peut se poser un débutant mais je suis curieux de nature. J'ai vu sur le rapport Combofix  (du chinois pour moi)  que beaucoup de clés avaient été bloquées. 
J'aimerais savoir si c'était des processus actifs qui ont été bloqués pour permettre le scan et maintenant sont-elles débloquées ? Ou bien si c'était des virus et que les clés ont été bloquées c'est à dire dire mises en quarantaine et dans ce cas, sont-elles toujours en quarantaine donc toujours sur le pc ou ont-elles été éliminées ? Histoire de dormir tranquille ! 

En tous cas, merci beaucoup pour le temps passé et pour ton aide précieuse. Ordy.

sherred · Answer

les clées registre bloquées , sont débloquées au redémarrage 
et pas forcement dangereuses , mais gênante pendant le scan 

quarantaine avec combo , il change tout simplement leur noms 
et extension ils sont donc plus dangereux a priori

le dossier de quarantaine doit se nommer Qoobox  ( de memoire  je crois )   a la racine du disque 

mais tous a du disparaitre avec le nettoyage

Ordy · Answer

Plus rien en effet. Merci et bonne continuation.
PS : Je ne vois pas comment on marque Résolu ?