PC amorphe - fichier desktop.ini problématique / Virus

Question

Bonjour, 

Tout d'abord je vous précise que j'ai windows 7 et que mon ordi a 2/3 mois de vie. Il est protégé par Bitdefender et n'a jamais eu aucun problème.  

Hier, mon ordi a mis un temps fou a se démarrer. Après avoir rentré le mot de passe, la session est restée bloqué sur "Bienvenue". Je l'ai redémarré au forceps, activé le mode sans échec puis redémarré en mode normal. Je ne sais pourquoi, mais il n'y a que comme ca que ca redémarre sans trop de lenteur.  :sweat:  Par contre, si j'arrive a enfin me retrouver sur le bureau, mon ordi reste très très lent, firefox bug tout le temps (soit il "ne répond pas", soit je ne peux pas le fermer au forceps via le gestionnaire des taches). Et évidemment je ne parle pas des autres programmes ou jeux que je n'arrive a démarrer qu'une fois sur 10. 

Voici donc le message qui s'affiche a chaque démarrage :  
[.ShellClassInfo] 
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 
IconResource=%SystemRoot%\system32\imageres.dll,-183

voici la configuration de mon PC. Il s'agit de l'ancienne version des PC hardware vendu sur LDLC (https://www.ldlc.com/fiche/PB00110770.html : 
Intel Core i5-3570K - Quad Core 
Carte mère MSI Z77A-G45 (Chipset Intel Z77 Express)  
Seagate 7200.14 - 2 To 7200 RPM 64 Mo Serial ATA III 
AMD Radeon HD 7800

L'ordi rame énormement. Bitdefender me détecte sans arrêt des intrusions quand bien même il a les mises a jours les plus récentes.. C'est a n'y rien comprendre ! Et lorsqu'une intrusion est détectée et repoussée, mon ordi est dans le gaz pendant 10/20 secondes. La souris est comme HS, ALT/CTRL/SUPPR ne répond pas.  
Je pense d'ailleurs qu'il s'agit d'un virus.   
Du coup j'ai lancé une analyse complète de mon PC et au bout de 2h je n'avais fait que 15% de la totalité des fichiers au vu de l'avancement de la barre. Je l'ai donc arrêté. Je n'ai jamais eu d'analyse complète durant 10/15h !!! J'ai vu que j'avais récupéré quelques trojan, classique. A part ca rien. J'ai supprimer les fauteurs de troubles sauf 2 fichiers infectés et impossible a mettre en quarantaine.   
  
Quelqu'un pour m'indiquer comment s'attaquer a ce probleme ?  
Est-ce un virus ? Si oui, comment m'en débarrasser ?  

Merci !!  

P.S : Après 3j de problèmes, je confirme que la seule solution pour que l'ordi fonctionne correctement est de le démarrer en mode sans échec puis, dans la foulée, de le redémarrer en mode normal. Par la suite, quand la mise en veille se lance automatiquement, c'est fichu, l'ordi va se remettre a perdre les pédales.

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

croissantchaud9 · Answer

Bonjour, 

Tout d'abord je te précise que je ne peux plus accéder a Windows en mode normal, j'ai été obligé de passer en mode sans échec avec réseau.  
Voici le lien du Pre Scan : 
https://forums-fec.be/upload/www/?a=d&i=4705269834 

Et le fichier Close.log :  
https://forums-fec.be/upload/www/?a=d&i=8848406923 

Merci de ton aide !

P.S : Le redémarrage après le pré scan s'est fait en mode normal, va comprendre pourquoi ca n'a pas bloqué cette fois ci...

g3n-h@ckm@n · Answer

tu as reessayé de demarrer en mode normal ?

croissantchaud9 · Answer

Ah, on a du se téléscoper entre mon edit et on nouveau post. 

Je suis en mode normal a l'heure actuelle. Je vais redémarrer, histoire de voir.. :)

g3n-h@ckm@n · Answer

relance l'outil , choisis Scan|kill car il a pas fini son scan :)  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

croissantchaud9 · Answer

J'arrive a redémarrer en mode normal. Mais j'ai toujours 2 fichiers texte qui s'ouvrent, les 2 avec cette mention :

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

g3n-h@ckm@n · Answer

ok on le virera fais ce que je demande au dessus ^^

croissantchaud9 · Answer

Le voici :

https://forums-fec.be/upload/www/?a=d&i=3079308569

g3n-h@ckm@n · Answer

magnifique 

relance l'outil , clique sur DiaG , heberge le rapport

croissantchaud9 · Answer

Magnifique ? Si seulement.. :) 

Quand je lance winlog.exe je n'ai aucune option a choisir.. Le scan se lance automatiquement sans que je touche a quoique ce soit. Que dois-je faire pour avoir le rapport ?

g3n-h@ckm@n · Answer

tu lances bien celui qui est sur ton bureau ?

croissantchaud9 · Answer

Autant pour moi.. J'ai voulu aller plus vite que la musique ;)

https://forums-fec.be/upload/www/?a=d&i=9611860173

g3n-h@ckm@n · Answer

ca a pas l'air mal :) 

tu as deux antivirus faut en virer un

un scan generaliste , et suivant quoi on ferme boutique avec un menage final pour repartir sur de bonnes bases :) 

 ======================= 

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse. 


? Télécharge ici : 

Malwarebytes   

? Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour . 

relance malwarebytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

? Lance Malwarebyte's . 

Fais un examen dit "Complet" . 

? Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
? à la fin tu cliques sur "résultat" . 
? Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

? Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


? Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) 


  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

croissantchaud9 · Answer

Le rapport en question, fait en mode sans échec avec prise en charge réseau :

https://forums-fec.be/upload/www/?a=d&i=9282496358

g3n-h@ckm@n · Answer

regarde dans ce dossier C:\Windows\Temp\ 

si tu as encore des fichiers de ce genre  


 tmp000068c0 

après redemarrge 

  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

croissantchaud9 · Answer

J'en ai plein mais les dossiers sont vides. Dois-je les supprimer ?

g3n-h@ckm@n · Answer

supprime tout ce qui est dans le Dossier Temp , redemarre , et rejette un coup d'oeil

croissantchaud9 · Answer

J'ai tout supprimé excepté un dossier du genre "tmp000068c0" où il faut les accès administrateur (sur mon propre PC ca déroute..) et que je ne peux passer outre.  

J'ai redémarré et j'ai toujours le fichier desktop.ini qui s'ouvre par 2 fois.

Quoiqu'il en soit, merci pour le temps que tu m'accordes !

g3n-h@ckm@n · Answer

ok regarde dans le dossier c:\pre_scan tu as il y a une copie (winlogon) malwarebytes a mangé celui qu'il y avait sur ton bureau ^^



recupere-le et remets le sur le bureau

ensuite lance-le puis clique sur "Expl/del"

rentre le nom du dossier avec son chemin (c:\windows	emp	mp000etc.....)

clique sur ok

puis clique sur "Force Delete" , ton pc va redemarrer , il devrait plus être là au redemarrage

croissantchaud9 · Answer

Je l'ai replacé puis lancé mais il ne se lance pas. Je vois une fenetre noire apparaitre furtivement et disparaitre sans que je puisse cliquer quelque part. 

J'ai également un fichier MBrFix.htm qui s'est créé sur le bureau.

g3n-h@ckm@n · Answer

t'as pas pris winlogon alors , c'est pas grave retelecharge-le

https://forums-fec.be/gen-hackman/Pre_Scan.exe

croissantchaud9 · Answer

J'ai lancé le logiciel et j'ai indiqué le lien C:\Windows	emp\ + le nom du dossier vide mais en cliquant sur Force Delete je n'ai que le fameux écran noir qui apparait/disparait.  
Le PC ne redémarrant pas, j'ai essayé de cliquer sur "Delete" et j'ai recu un petit message me disant que le dossier avait bien été supprimé. Probème : il est toujours dans C:\Windows	emp\ ! 

Avec redémarrage manuel, il n'est plus là mais un autre dossier temp se met a sa place... Je crois qu'ils essayent de me rendre chèvre ! ^^

D'autres dossiers "bdcloud" se sont créés également après chaque pré-scan, ainsi qu'un fichier SQM et un fichier LOG.

g3n-h@ckm@n · Answer

c'est bitdefender ca :)

croissantchaud9 · Answer

Ok donc on s'en fout ? 

Pour le double fichier text desktop.ini qu'est ce que je fais ? 

L'ordi bug moins mais bug quand meme ^^

g3n-h@ckm@n · Answer

regarde dans demarrer / programmes / demarrage il doit y en avoir un tu le supprimes

croissantchaud9 · Answer

Je l'ai supprimé mais il revient après chaque démarrage.. 

Et même apres l'avoir supprimé, il existe toujours dans démarrer/programmes. Quand je veux le supprimer de nouveau j'obtiens ce message d'erreur : "il n'existe plus dans C:\programdata\microsoft\windows\menu démarrer\programmes. Vérifier son emplacement actuel et réessayez".

g3n-h@ckm@n · Answer

clique droit dessus et mets -le en attribut caché

croissantchaud9 · Answer

Bon 1ère chose : le PC ne rame plus et ne bug plus (espérons que cela dure !)

2eme chose : Ayant supprimé ledit fichier, j'ai du redémarrer le PC pour pouvoir le mettre en "caché". Problème : au redémarrage il y avait encore 2 fois le fichier text qui s'est affiché mais le fichier était introuvable dans démarrer>programmes !!! Alors, pourquoi, s'il a véritablement été supprimé, s'affiche-t-il encore a chaque démarrage ??

g3n-h@ckm@n · Answer

selectionne ce texte : 

File|Fold:: 
C:\Users\Damien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini  

Relance Pre_scan puis choisis l'option "Script" 

une page va s'ouvrir 

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler. 

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

croissantchaud9 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1121 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Damien : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 21:27:52

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


File Moved to quarantine successfully :  |A| - C:\Users\Damien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
File Moved to quarantine successfully :  |A| - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini


End : 21:27:53

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Je vais redémarrer pour vérifier ;)

croissantchaud9 · Answer

EFFACE !!!! :D

Merci infiniment !!! J'espère que tout sera revenu a la normale et que je n'aurais plus de soucis ces prochains jours :)

Sinon, si je comprends bien, c'est toi qui a créé ce programme ? Et tu le testes (positivement ^^) sur les gens qui viennent ici ?

PC amorphe - fichier desktop.ini problématique / Virus

31 réponses

Votre réponse

Newsletters