Virus ou autre Fermé

Question

Bonjour, 

J'ai un souci avec mon PC, quand je l'allume il démarre normalement, j'entre ensuite le code de ma session et là j'ai un écran noir à la place de mon bureau.
Impossible de faire quelque chose j'ai tenter une solution ou il fallait ouvrir le gestionnaire mais même le gestionnaire ne peut s'ouvrir.

Le mode sans echec semble marcher, j'ai fait marcher comodo il a repéré des virus mais se sont des jeux oui comodo n'aime pas que je joue peut importe le jeu que j'installe il me le fou en virus donc impossible de savoir si il a raison.
Enfin la veille mon pc a deux reprise a redémarrer tout seul donc je pense a un virus est comodo dans sa grande généreusement ma détecte ça --" : 
emplacement : downloads_bestcodecspacksetup.exe
élément : win.32.IntallBrain.AW etc....

mis en quarantaine avt que mon PC plante. Bon vous l'avez deviné je ne suis pas douée j'ai fait spybot en mode sans echec mais mon pc à planté, la je l'ai relancé.
Y a t'il d'autre solution ou est-ce un autre virus ou une modification de fichier dans mon explorer ? 
Je suis perdue ^^"

Edit : Bon spybot dit que tout va bien ....
La j'ai lancé malawarebytes en mode complet quelque chose comme ça ^^"

lilidurhone · Answer

Hello

Je vais te prendre en charge

Une précision n'écoutes que moi ou un contributeur sécurité 

Il faudra que tu désinstalles spybot il est inefficace et obsolète

En mode sans échec avec prise en charge réseau peux tu faire ceci s'il te plaît 

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, clique sur la flèche bleue ce qui va te diriger vers Pjjoint
pour héberger ce rapport.

* Clique sur Parcourir pour chercher le rapport dans ton PC.

* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Clique sur envoyer le fichier, puis poste le lien en bleu qu'on va te fournir.

* Si problème d'hébergement sur Pjoint passe par cjoint 

* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

Meimei · Answer

Spybot ne détectant rien je viens justement de le lancer en mode complet je crois j'attends :s

lilidurhone · Answer

Hello

Bien reçu mais je le mets ici ^^

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_k6z10i5x7v15

Je vais y jeter un oeil

Meimeiko · Answer

Ok ^^ je te remercie pour ton aide :)

lilidurhone · Answer

Hello

Fais attention avec certains outils comme par exemple Tdsskiller 
 C:\TDSSKiller.2.7.40.0_20.05.2013_13.39.40_log.txt   [240758]

Tu n'as pas désinstallé spybot ?

Je vois que tu utilises Comodo tu as les DNS de Comodo 

Tu as dû utiliser Regclean pro c'est un rogue 

Par précaution fais ceci

* Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Meimeiko · Answer

Tdsskiller les gens le conseillaient sur le net ^^" je vais le désinstaller spybot aussi mais beaucoup de gens en parle en bien.

Quand a Regclean j'ignore totalement c'est quoi :s a une période je télécharger pas mal de logiciel de nettoyage mon pc était lent. Si je le trouve je le retire ^^ mais je me souviens de l'avoir mit :s

Je vais tenter d'installer Roguekiller.

Meimeiko · Answer

https://pjjoint.malekal.com/files.php?id=20130601_h13h11e6b6w12
J'ai désinstaller spybot ;)
Les autres je ne trouve pas leur dossier je vais regarder de nouveau lol

lilidurhone · Answer

Hello


On passe à la suppression

* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

Meimeiko · Answer

Supprimé ^^ 
 https://pjjoint.malekal.com/files.php?id=20130601_o7b9j15o8t9
Ce logiciel me semble pas mal c'est fou tous ce qu'il a supp :o

Je peux retenter de me connecter sans le mode sans échec ?

lilidurhone · Answer

Hello

Si tu as accès au gestionnaire des tâches
Dans nouvelle tâche tapes explorer.exe puis ok  normalement tu devrais voir ton bureau apparaître  
 
Si problème il y a il existe toujours une solution 
N'oubliez pas de mettre votre sujet en résolu :)

Meimeiko · Answer

Ok je tente de suite ^^

Meimeiko · Answer

Il ne trouve pas le fichier ... Je comprends pas

lilidurhone · Answer

Aïe!

Ton explorer en a pris un coup

Tu peux me donner le rapport de Malwarebytes si c'est possible dans l'onglet rapport/logs

Meimeiko · Answer

Voilà : J'espere que je ne vais pas devoir tout restaurer :s

https://pjjoint.malekal.com/files.php?id=20130601_n13i9w6p15y14

lilidurhone · Answer

Meimeiko

On attend l'avis de l'expert

Pour comodo je l'ai utilisé et désinstallé car il me bloquait un programme légitime de windows

Je l'ai remplacé par avast 8 :)

Meimeiko · Answer

Ok pas de souci ^^

Je pense que je vais en faire de même, enfin pas tout de suite j'ose pas retoucher à quelque chose lol

Mais un ami du net m'a dit qu'il a prit avast ses professeurs d'info l'avaient, je vais arrêter de m'entêter avec comodo lol

g3n-h@ckm@n · Answer

bonsoir , comodo est très , très performant, cependant , il est fait pour des gens avertis !!!

c'est pas un jouet :) il faut savoir le parametrer ;)

g3n-h@ckm@n · Answer

si on casse la baraque, faut desactiver comodo sinon il va faire chi$er

Meimeiko · Answer

Mdrr non mais je me doute qu'il va falloir le reformater ^^" ça finit toujours comme ça avec moi lol

g3n-h@ckm@n · Answer

j'ai plus rien compris

 y'  un rapport de pre_scan ou pas ? (la flemme de chercher ^^ )
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Meimeiko · Answer

j'ai pas encore le scan super long, du coups je l'avait laissé tout la nuit avant de comprendre qu'il était bloqué. J'ai éteins et en rallumant c'est mon mode sans échec avec réseau qui s'endommagé bon ct la corbeille. G reddl avec un autre lien que tu as donné je sais pas si il ira jusqu'au bout ^^

g3n-h@ckm@n · Answer

hello 

 fais voir le rapport qui doit etre dans c:\, hébergé

Meimeiko · Answer

Le scan ne marche pas, il bloque peut importe la version

g3n-h@ckm@n · Answer

https://forums.commentcamarche.net/forum/affich-27928459-virus-ou-autre?page=2#47

Meimeiko · Answer

ahh même quand il ne va pas jusqu'au bout il sort un scan ^^"
https://pjjoint.malekal.com/files.php?id=20130602_g12p127n6x11
J'espère que c'est ça ^^

g3n-h@ckm@n · Answer

relance l'outil, clique sur diag et heberge le rapport pre_diag puis donne le lien

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

(la grosse flèche verte en milieu de page)

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

g3n-h@ckm@n · Answer

bien refais un diag voir ce qui reste

g3n-h@ckm@n · Answer

regclean Pro est toujours installé ?????

Meimeiko · Answer

Je ne le trouve pas sur mon PC j'ignore comment le supprimer :s j'avais supprimer des dossier mais ça ne suffit pas à désinstaller.

g3n-h@ckm@n · Answer

ca marche je vais te faire un script pour le degager

g3n-h@ckm@n · Answer

desinstalle si tu peux tout ce qui a attrait à softonic , de plus evite ce site, ils refourguent des adwares dans les installeurs des programmes , ainsi que 01net et telecharger.com
désinstalle si ce n'est fait , Pando media booster

====

 Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\Win7AiO.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.
 
=======

sélectionne ce texte, puis CTRL + C

Kill::

RegRead::
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_81760606]

Key::
[HKU\S-1-5-21-2526510478-1108622889-4071106049-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[PlayNC Launcher]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d3f22a84-2a84-49eb-91e6-5dadaaf0165d}]
[HKU\S-1-5-21-2526510478-1108622889-4071106049-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5A7C81BB-5F38-4BFE-AEFC-281DE6A52AD7}] 
[HKU\S-1-5-21-2526510478-1108622889-4071106049-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d3f22a84-2a84-49eb-91e6-5dadaaf0165d}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{d3f22a84-2a84-49eb-91e6-5dadaaf0165d}] 
[HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\2afc8470-d808-4225-bee1-605c11a2e3b2] 
[HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin] 
[HKLM\Software\wow6432Node\MozillaPlugins\@pandonetworks.com/PandoWebPlugin] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-2526510478-1108622889-4071106049-1001\Software\Pando Networks]     
[HKLM\Software\Pando Networks]     
[HKLM\Software\Wow6432Node\Pando Networks]  
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{C2212CF5-B2EE-45A9-9568-84C561FD01C4}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{71F3B72B-5E0C-49FD-BCC3-07DAA583B396}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{38983C45-2281-4B59-8E91-7271A5BB042C}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{BCF8F760-A4D6-487F-8F9F-015ECAE7416B}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{8D8A3CDF-9157-44EB-9D7C-1D876DB7ABAF}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{513487FE-4AD8-4ADC-A2C4-AC42C7F0082D}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{CE78692E-4F55-425E-A92C-305CC46BAE8E}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{9DC1E483-631E-4727-8089-867D8044F800}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{AE72844D-602C-466A-8471-C9CEFDF1B568}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{D4E49608-B70C-4C9F-ACA6-4EA894DC508F}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{C938188E-931A-42E8-96F4-615F18431EAE}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{65B663F8-4F5C-48FB-A14B-E826BF2951CC}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{F37D419C-3F4D-42D3-88F4-C573C5A6B55A}] 
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{B6425F8F-8CF0-4A3D-8814-50DA6A473384}]

File|Fold::
C:\Users\user\AppData\Roaming\File Scout     
C:\ProgramData\Spybot - Search & Destroy 
C:\eula.*.txt 
C:\2648d84c7382169aeb8baca390c7ba 
C:\Windows\${FILENAME_INI} 
C:\Users\orlando\Downloads\*.tmp 
C:\Users\orlando\Downloads\Eas*  
C:\ProgramData\Spybot - Search & Destroy 
C:\Program Files (x86)\Pando Networks     
C:\Program Files (x86)\Katawa Shoujo 
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT      
C:\Windows\System32\Tasks\RegClean Pro         
C:\Windows\system32\roboot64.exe 

Driver::
04422297
26984246
35723764
42941282
47079745
47794778
62529245
78706902
79737967
81760606
88223808
91486004
92891702
94384066
QKM
UQK
X6VA010
Clean::

MBR::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

tu peux mettre malwarebytes à jour et lancer un scan complet

vire tout ce qu il trouve après avoir coché les cases respectives :D

Meimeiko · Answer

J'ai tout supprimés, il y avait que 2 dossiers, quand je me suis reconnecté ils étaient dans le dossier quarantaine avec un autre, j'ai cliqué sur tout supprimer.
Si besoin :
https://pjjoint.malekal.com/files.php?id=20130602_y11g14u8l11j12

lilidurhone · Answer

Hello vous deux :)

Meimeiko 
Tu es en de très bonnes mains

Ton bureau doit s'afficher normalement maintenant :D

Bonne chasse Gen

Meimeiko · Answer

Écran noir désolé

g3n-h@ckm@n · Answer

ah ben si ton windows est cr@cké.....

Virus ou autre

38 réponses

Discussions similaires