Virus ecran blanc (non gendarmerie)
Résolu
tony291
Messages postés
20
Date d'inscription
Statut
Membre
Dernière intervention
-
kalimusic Messages postés 14014 Date d'inscription Statut Contributeur sécurité Dernière intervention -
kalimusic Messages postés 14014 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai suivi sur des sujets précédents la procédure indiquée : a savoir : OTLPEN, telechargé, scanné...
Qqun serait il dispo pour m'aider dans la suite des étapes pour le "Fix".
Je joindrais le rapport txt.
MErci !
J'ai suivi sur des sujets précédents la procédure indiquée : a savoir : OTLPEN, telechargé, scanné...
Qqun serait il dispo pour m'aider dans la suite des étapes pour le "Fix".
Je joindrais le rapport txt.
MErci !
A voir également:
- Virus ecran blanc (non gendarmerie)
- Double ecran - Guide
- Capture d'écran whatsapp - Accueil - Messagerie instantanée
- Virus mcafee - Accueil - Piratage
- Retourner ecran pc - Guide
- Capture d'écran samsung - Guide
38 réponses
Bonjour,
Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Nota : Je ne sais pas si j'ai utilisé les bon paramètres sur OPLE ...
Je peux refaire bien entendu s'il faut.
Je peux refaire bien entendu s'il faut.
ok,
● Double-clique sur l'icône jaune OTLPE.
● Sous "Custom Scans/Fixes", copie/colle les instructions suivantes :
● Clique sur le bouton Run Fix, patiente pendant le travail de l'outil.
● Un rapport va s'ouvrir au format bloc-note.
● Héberge le rapport et donne le lien.
Redémarre sous Windows pour la suite.
Ce n'est pas fini, A +
● Double-clique sur l'icône jaune OTLPE.
● Sous "Custom Scans/Fixes", copie/colle les instructions suivantes :
:OTL
O3 - HKU\Utilisateur_ON_C\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O3 - HKU\Utilisateur_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Utilisateur_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [UpdateManager] File not found
O4 - HKU\Utilisateur_ON_C..\Run: [Bubble Dock] File not found
O4 - HKU\Utilisateur_ON_C..\Run: [ISUSPM] File not found
O20 - HKU\Utilisateur_ON_C Winlogon: Shell - (C:\Documents and Settings\Utilisateur\Application Data\skype.dat) - C:\Documents and Settings\Utilisateur\Application Data\skype.dat ()
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\All Users\*.tmp files -> C:\Documents and Settings\All Users\*.tmp -> ]
[2013/06/12 10:51:03 | 000,000,004 | ---- | C] () -- C:\Documents and Settings\Utilisateur\Application Data\skype.ini
[2008/04/13 13:33:04 | 000,110,592 | ---- | C] () -- C:\Documents and Settings\Utilisateur\Application Data\skype.dat
[2012/01/21 11:03:10 | 000,000,008 | ---- | C] () -- C:\Documents and Settings\Utilisateur\Application Data\l1kvqey2m6hs3jjr.dat
[2011/10/22 15:19:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Utilisateur\Application Data\Agence-Exclusive
[2011/01/01 11:05:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Utilisateur\Application Data\OfferBox
● Clique sur le bouton Run Fix, patiente pendant le travail de l'outil.
● Un rapport va s'ouvrir au format bloc-note.
● Héberge le rapport et donne le lien.
Redémarre sous Windows pour la suite.
Ce n'est pas fini, A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
j'ai redemarré, l'écran est genre, en mode sans echec...
Le redémarrage à été très rapide, et j'ai un message : CFP.exe not being started from the installation directory.you should run it from to maket it function properly, do you still want to continue ?
De plus lorsque jétait sous l'environnement, je n'arrivais pas à surfer normalement, Dès que j'essaiyais de chercher mes mails ou d'aller sur CCM, la fenetre internet explrer se fermait...
Pour verifier, j'ai néanmoins pu aller sur d'autres site, "anodins" ...bizarre...
Copier coller du log :
========== OTL ==========
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{1017A80C-6F09-4548-A84D-EDD6AC9525F0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}\ not found.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UpdateManager deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Bubble Dock deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Utilisateur\Application Data\skype.dat deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\skype.dat moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET3C9.tmp deleted successfully.
C:\WINDOWS\System32\SET3D5.tmp deleted successfully.
C:\WINDOWS\SET3.tmp deleted successfully.
C:\WINDOWS\SET4.tmp deleted successfully.
C:\WINDOWS\SET8.tmp deleted successfully.
C:\Documents and Settings\All Users\SPL11C7.tmp deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\skype.ini moved successfully.
File C:\Documents and Settings\Utilisateur\Application Data\skype.dat not found.
C:\Documents and Settings\Utilisateur\Application Data\l1kvqey2m6hs3jjr.dat moved successfully.
C:\Documents and Settings\Utilisateur\Application Data\Agence-Exclusive\Agence-Exclusive folder moved successfully.
C:\Documents and Settings\Utilisateur\Application Data\OfferBox folder moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 06142013_202044
Le redémarrage à été très rapide, et j'ai un message : CFP.exe not being started from the installation directory.you should run it from to maket it function properly, do you still want to continue ?
De plus lorsque jétait sous l'environnement, je n'arrivais pas à surfer normalement, Dès que j'essaiyais de chercher mes mails ou d'aller sur CCM, la fenetre internet explrer se fermait...
Pour verifier, j'ai néanmoins pu aller sur d'autres site, "anodins" ...bizarre...
Copier coller du log :
========== OTL ==========
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{1017A80C-6F09-4548-A84D-EDD6AC9525F0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}\ not found.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UpdateManager deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Bubble Dock deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM deleted successfully.
Registry value HKEY_USERS\Utilisateur_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Utilisateur\Application Data\skype.dat deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\skype.dat moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET3C9.tmp deleted successfully.
C:\WINDOWS\System32\SET3D5.tmp deleted successfully.
C:\WINDOWS\SET3.tmp deleted successfully.
C:\WINDOWS\SET4.tmp deleted successfully.
C:\WINDOWS\SET8.tmp deleted successfully.
C:\Documents and Settings\All Users\SPL11C7.tmp deleted successfully.
C:\Documents and Settings\Utilisateur\Application Data\skype.ini moved successfully.
File C:\Documents and Settings\Utilisateur\Application Data\skype.dat not found.
C:\Documents and Settings\Utilisateur\Application Data\l1kvqey2m6hs3jjr.dat moved successfully.
C:\Documents and Settings\Utilisateur\Application Data\Agence-Exclusive\Agence-Exclusive folder moved successfully.
C:\Documents and Settings\Utilisateur\Application Data\OfferBox folder moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 06142013_202044
Re- Kalimusic
Pour info a present :
Le PC est bien démarré sous Windows, et je n'ai plus l'écran blanc !!!
mais : Je n'ai plus de connection internet ?! (heureusement, j'ai un portable a coté pour t'écrire).
J'ai testé un peu la réaction du PC : si je lance un VLC, ça plante, avec l'impression que le PC rame ...
Enfin, Je ne sais quoi répondre à la question du CFP.exe ?
J'attends donc tes instructions pour la suite !
PS : une petite explication de ce que tu fais, pour ma très grande curiosité personnelle ?
Pour info a present :
Le PC est bien démarré sous Windows, et je n'ai plus l'écran blanc !!!
mais : Je n'ai plus de connection internet ?! (heureusement, j'ai un portable a coté pour t'écrire).
J'ai testé un peu la réaction du PC : si je lance un VLC, ça plante, avec l'impression que le PC rame ...
Enfin, Je ne sais quoi répondre à la question du CFP.exe ?
J'attends donc tes instructions pour la suite !
PS : une petite explication de ce que tu fais, pour ma très grande curiosité personnelle ?
re,
CFP.exe est un processus du firewall COMODO.
Il n'est pas impossible que le soucis de connexion vienne de là.
Tu peux le désinstaller pour voir ?
A +
CFP.exe est un processus du firewall COMODO.
Il n'est pas impossible que le soucis de connexion vienne de là.
Tu peux le désinstaller pour voir ?
A +
comodo desinstallé, tj par internet.
Et ça vient du PC puisque sur la même box, je suis en train de t'écrire du portable...
Diagnostics du reseau windows XP me dit : Windows n'a pas pu detecter de carte reseau avec ou sans fil, etc...
Et ça vient du PC puisque sur la même box, je suis en train de t'écrire du portable...
Diagnostics du reseau windows XP me dit : Windows n'a pas pu detecter de carte reseau avec ou sans fil, etc...
Alors, une infection a endommagé Windows.
Tu as tenté quoi comme fix avec OTLPE avant de poster sur le forum ?
On tente de désinfecter et de réparer ?
A+
Tu as tenté quoi comme fix avec OTLPE avant de poster sur le forum ?
On tente de désinfecter et de réparer ?
A+
suite de l'aventure,...
J'ai lancé C cleaner, j'ai lancé Malwarebytes anti malware (avec 78 jours de retards sur mise a jour...mais il n'accède pas au net pour mettre a jour ...bouhhh) en scan rapide
Qui m'a trouvé : Trojan.0access
J'ai supprimé, voici le log :
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Version de la base de données: v2013.03.28.05
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Utilisateur :: UTILISAT-98F768 [administrateur]
14/06/2013 21:39:26
mbam-log-2013-06-14 (21-39-26).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216100
Temps écoulé: 6 minute(s), 42 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\n (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
J'ai lancé C cleaner, j'ai lancé Malwarebytes anti malware (avec 78 jours de retards sur mise a jour...mais il n'accède pas au net pour mettre a jour ...bouhhh) en scan rapide
Qui m'a trouvé : Trojan.0access
J'ai supprimé, voici le log :
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Version de la base de données: v2013.03.28.05
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Utilisateur :: UTILISAT-98F768 [administrateur]
14/06/2013 21:39:26
mbam-log-2013-06-14 (21-39-26).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216100
Temps écoulé: 6 minute(s), 42 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\n (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
(fin)
Pour répondre a ton dernier post : Rien, j'avais cliqué (betement, sur run fix) en pensant qu'il pouvait "fixer" tout seul.
oui, j'attends toutes tes suggestions...
oui, j'attends toutes tes suggestions...
C'est une infection qui peut être coriace et qui endommage les services natifs de Windows. Si tu es ok, on tente de désinfecter et de réparer.
Tu peux télécharger les outils via ton portable et les transférer sur le pc infecté ?
Tu peux télécharger les outils via ton portable et les transférer sur le pc infecté ?
oui, techniquement, je devrait pouvoir le faire,....
Mais limité par 2gb de clé ucb, et j'ai deja fait des aller retour de clé usb entre les 2 PC pour les logs, je voudrais pas que l'autre pc se retrouve contaminé a son tour...
Mais limité par 2gb de clé ucb, et j'ai deja fait des aller retour de clé usb entre les 2 PC pour les logs, je voudrais pas que l'autre pc se retrouve contaminé a son tour...
non j'ai aussi un disque dur externe avec plus de capacité si necessaire...
Mais la encore, je voudrais pas que, lui, se retrouve infecté
Mais la encore, je voudrais pas que, lui, se retrouve infecté
Ton infection ne se transmet pas par supports amovibles.
Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
Télécharge RogueKiller (par Tigzy) sur le bureau
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
● Laisse le prescan se terminer, clique sur Scan
● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.
A +
voila,
Je ne sais pas si j'ai bien fait...après le scan, je suis allé sur les onglets processus, registre hosts et MBR, et j'ai fait "supprimer".
Du coup j'ai 5 rapports...
Je te paRogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 14/06/2013 22:16:42
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤sse que le premier.
Je ne sais pas si j'ai bien fait...après le scan, je suis allé sur les onglets processus, registre hosts et MBR, et j'ai fait "supprimer".
Du coup j'ai 5 rapports...
Je te paRogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 14/06/2013 22:16:42
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-1454471165-1220945662-1417001333-1004\$b9976c3f0d5a0ddb609e78032b2ba44a\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤sse que le premier.