pc infecté ne démarre plus normalement Résolu/Fermé

Question

Salut, voilà j'ai voulu regarder une vidéo et quand j'ai clic dessus mon pc a freezé avec un écran bleu et un message qui disait If this is the first time you've seen this stop error screen et je sais plus la suite et bon je l'ai éteint vu que il y avait que ça à faire. Je suis en mode sans échec je suis en train de passer malwarebytes et avast et j'ai fait un scan avec rogue killer j'ai le rapport je viens de mettre ici https://www.cjoint.com/?CDroFxOUPP0 je sais pas si c'est des faux positifs.

Merci à ceux qui pourront m'aider. Répondez svp :)

juju666 · Accepted Answer

Salut,

Fais la suppression avec RogueKiller et poste le rapport.

Poste le rapport MBAM une fois terminé.

Et fais ça aussi :

 &#9654 Télécharge et lance TDSSKiller.

&#9654 Clique sur Change parameters
&#x25CF Cocher la case Loaded modules. Le message Reboot is required s'affiche.
&#x25CF Il faut le valider en cliquant sur Reboot now.
&#x25CF Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
&#x25CF L'outil TDSSKiller se relance.

&#9654 Cliquer de nouveau sur Change parameters.
&#x25CF Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
&#x25CF Valider par OK 

&#9654 Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

&#x25CF Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#x25CF Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#x25CF Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
&#x25CF Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut. 

&#9654 Si l'outil te le demande, redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

&#9654 Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.

tacfarinas · Answer

nettoie le avec un ou deux antivirus

Jonathan_117 · Answer

Le rapport rogue killer : https://www.cjoint.com/?CDroRphqo5j
Et celui de mbam : https://www.cjoint.com/c/CDroUGSXOte

Merci maintenant jvais faire kaspersky

Jonathan_117 · Answer

Le rapport de tdsskiler : https://forums-fec.be/upload/www/?a=d&i=0942128518
Je suis toujours en mode sans échec vu qu'au démarrage normal j'ai plus de bureau juste un écran noir.

juju666 · Answer

Essaie ça : http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/13-logonfix

Jonathan_117 · Answer

Logonfix me donne un message d'erreur j'ai pris une capture https://www.cjoint.com/?CDrpQE8zR9K

juju666 · Answer

KDO : https://dl.dropboxusercontent.com/u/22950063/actxprxy.dll

A placer dans C:\Windows\System32 et C:\Windows\Syswow64

Ensuite relance le tool

Jonathan_117 · Answer

Exactement le même message d'erreur :(

juju666 · Answer

Mmmmmmhm ...

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Jonathan_117 · Answer

Voilà le rapport https://www.cjoint.com/c/CDrqERWDG55
Jme suis absenté pendant le scan et quand je suis revenu mon pc avait redémarré il y avait une erreur qui apparraissait avec la fenetre system32/cmd.exe pour le moment le pc semble fonctionner correctement. Merci

juju666 · Answer

Super mais les fichiers systèmes en ont pris un coup !

Fait ça http://www.vista-xp.fr/forum/topic346.html#p930

Jonathan_117 · Answer

Bon ya des violations d'intégrités jvais réparer maintenant. Au fait juste pour prévenir j'ai pas de cd d'installation de mon os.

Jonathan_117 · Answer

La commande sfc /scannow a réparer les fichiers. La suite? Ou la fin?

juju666 · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
&#9654 Coche les cases à coté de Recherche Lop et Recherche Purity.
&#9654 Laisse tous les autres paramètres par défaut 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Jonathan_117 · Answer

https://forums-fec.be/upload/www/?a=d&i=0671479854
https://forums-fec.be/upload/www/?a=d&i=8182525920

juju666 · Answer

Tu peux désinstaller Kaspersky Security Scan et Sophos.
Désinstaller aussi tout ce qui est toolbar : bing, conduit, XfireXO,...

Tu peux faire un adwcleaner : 

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

juju666 · Answer

et pourtant : 

DRV:[b]64bit:[/b] - [2009/06/18 13:54:10 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\ABAB.tmp -- (MEMSWEEP2)

[2010/03/20 21:45:02 | 000,000,000 | ---D | M] (XfireXO Toolbar) -- C:\Users\utilisateur\AppData\Roaming\mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}

La toolbar en fin de compte est plutôt une extension de firefox, ou du moins un reste.

Jonathan_117 · Answer

https://www.cjoint.com/c/CDruMHw1C1I

J'ai vu j'ai des vieux trucs dans appdata qui trainent

juju666 · Answer

Super :)

Encore des soucis ?

Jonathan_117 · Answer

Si tu sais me dire d'où viennent tous les AlbumArt qui sont apparus après le nettoyage de Pre_Scan un peu partout ^^ Sinon ça va merci beaucoup t'es un boss

juju666 · Answer

Ouais c'est des fichiers cachés qu'utilise Windaube Media Player pour afficher la pochette de l'album durant la lecture ;)
Suffit de re-masquer les fichiers cachés.

Relance OTL, clique sur "Analyse rapide" (et touche à rien d'autre)
Fais péter le rapport, je vais te préparer un petit script de finalisation et on plie :)

Jonathan_117 · Answer

https://www.cjoint.com/?CDrv5E5ZHpA
https://www.cjoint.com/c/CDrv6JI2Fr6 Pendant que j'y suis le bouton pour copier l'adresse du fichier hébergé cjoint me dit impossible d'acceder au presse papier.

juju666 · Answer

Ouais, ça me le fait aussi sur mon pc, c'est un problème chez cjoint.
Le webmaster de cjoint est présent sur ccm si tu veux le contacter pour ce problème ^^

Ton Teamviewer est pas à jour et du coup y'a des problèmes, installe la V8 : https://dl.teamviewer.com/download/version_15x/TeamViewer_Setup.exe

=========================

relance otl sous personnalisation colle ça :

:OTL
DRV - [2009/06/18 13:54:10 | 000,006,144 | ---- | M] (Sophos Plc) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\ABAB.tmp -- (MEMSWEEP2)      
[2010/03/20 21:45:02 | 000,000,000 | ---D | M] (XfireXO Toolbar) -- C:\Users\utilisateur\AppData\Roaming\mozilla\Firefox\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}  
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run-Disabled: SpybotSD TeaTimer = C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe 
@Alternate Data Stream - 96 bytes -> C:\ProgramData\Temp:F63A059B      
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA      
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:07BF512B      
@Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:587EB586      
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54      

:Commands
[EMPTYTEMP]

Clic correction et poste le rapport qui s'ouvrira après redémarrage 

=========================

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Jonathan_117 · Answer

Voilà le rapport de correction https://www.cjoint.com/?CDrwY4shj8i
Jvais jouer avec delfix et j'ai déjà mbam.

juju666 · Answer

Héhé :)

Pc infecté ne démarre plus normalement

25 réponses