PC Infecté par le virus SURABAYA avant l'ouverture de windows !Résolu/Fermé

Question

Bonjour à toutes et à tous,

Je fais appel ici à vos lumières pour m'aider à me dépatouiller de mon PC qui est infecté par le virus SURABAYA. 
PC DELL 8400 Dimension, avec un Pentium4 et Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation. 

sans le savoir, j'ai utilisé une clef USB infectée. Depuis lorsque j'allume mon PC avec d'accéder à l'ouverture de Windows (l'écran bleu "Bonjour") une fenêtre s'ouvre avec un message écrit dedans: "Surabaya in my birthday, don't kill me..."

J'ai lu ici quelque topic pour me rendre compte de quoi il s'agissait. 

J'ai particulièrement lu ici, celui de: [résolu] 
"jerelo - 19 juil. 2013 à 12:40 - Dernière réponse le 10 déc. 2013 à 16:25 Ellen " 
https://forums.commentcamarche.net/forum/affich-28289042-pc-infecte-du-virus-surabaya

J'ai suivi et appliqué dans le même ordre, le même processus: 
Adwcleaner (j'ai le rapport rapport) puis, 
Malwarebyte (j'ai le rapport également) 
puis j'ai fait un scan d'OTL 
(Sur OTL, sous "personnalisation", j'ai copier-coller le même script que vous aviez mis dans le topic de "jerelo")

Puis pour terminer, 
un dernier scan de Malwarebyte, comme indiqué dans le processus que j'ai suivi. Ce dernier scan indiquait, aucunes infections détectées.

Seulement voila, au dernier redémarrage, avant l'ouverture de Windows la même fenêtre s'ouvrait à nouveau, avec le même message: "Surabaya in my birthday, don't kill me..."

Cela n'a pas marché, j'ai toujours apparemment ce virus Surabaya dans mon PC et je ne sais pas comment m'en débarrasser. 
Si quelqu'un peut m'aider ici svp, à résoudre ce problème pour supprimer ce virus de mon PC, je vous remercie par avance.

Utilisateur anonyme · Answer

bonjour,

 *  Télécharge et enregistre ZHPDiag sur ton bureau : 

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

 Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

 Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

=> L'icône est sous forme de parchemin. 

 Clique sur « complet » 
 Laisse travailler l'outil, même s'il semble bloqué ! 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 

 Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  


tuto zhpdiag : 

https://nicolascoolman.eu

Note : Zhpdiag est détecté à tors par certains antivirus et SmartScreen de Windows, désactive les pour passer l'outil s'il y a une détection !

pushaman · Answer

Merci à toi pour cette réponse rapide.
J'ai fait ce que tu m'as demandé voila le rapport de ZHPDiag:
https://www.cjoint.com/c/EEmsTA2nRUf 
https://www.cjoint.com/c/EEmsUwos5Pr
https://www.cjoint.com/c/EEmsU499epW 
http://cjoint.com/?EEmsVKfIDdB 
voilà

Utilisateur anonyme · Answer

je vois que tu as déjà passé pas mal d'outils sur ce pc !!!!



&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

pushaman · Answer

Désolé c'était un peu long.
j'ai installé combofix, je l'ai lancé à 2 reprises,
il s'est exécuté sans problème, 
il s'est connecté à internet pour faire des mises à jour puis il a entamé sa recherche jusqu'à: 
l'Etape 50-terminée 
puis ensuite
écran-noir, 
puis plantage, 
écran-bleu, "Bad-Pool-Header" 
et 
redémarrage de l'ordi.
surabaya toujours présent,
mais pas de rapport de combofix!

j'ai une deuxième fois exécuté combofix mais il a replanté à nouveau à l'etape 50: écran-bleu "Bad-Pool-Header"
et sans rapport non plus..Que faire?

Utilisateur anonyme · Answer

ok, si tu vois que le pc plante, lance une restauration système, 


si le pc est stable, laisse tel qu'il est !

puis dis moi aussi sur quel navigateur vois tu Surabaya !!!

pushaman · Answer

Bonjour, merci pour tes réponses.
 
Le pc est stable, il a planté écran-bleu, seulement lorsque combofix opérait et seulement à l'étape 50 du processus combofix. 
Ce qui ne m'a pas permis d'avoir de rapport de combofix puisque redemarrage aprés et sans le rapport de combofix à suivre..

Sinon le PC s'allume correctement et reste stable une fois allumé.

Surabaya je ne saurais pas te dire sur quel navigateur je le vois. Pour info je navigue sur le net avec Mozilla-Firefox.

Ce que je sais c'est que la fenêtre:""Surabaya in my birthday, don't kill me..." est toujours présente à l'allumage ou redémarrage du PC, juste avant l'ouverture de la fenêtre bleue "Bonjour" du lancement de Windows.

Utilisateur anonyme · Answer

ok, on va voir ou il se cache ! Télécharge et enregistre Zhpcleaner sur ton bureau : https://nicolascoolman.eu [*] Fais un clique droit dessus, lance le en tant qu'administrateur ! [*] Accepte le contrat de licence d'utilisation finale (CLUF), [*] Clique sur "Nettoyer" [*] Clique sur rapport (normalement le rapport s'affiche) [*] Enregistre le rapport sur ton bureau [*] Héberge son rapport de modification qui se trouve sur le Bureau : https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum Note : - Cet outil ne nécessite pas d'installation ! - Le rapport se trouve également dans ce répertoire "%AppData%".

pushaman · Answer

Bonsoir, il est un peu tard, j'ai bossé tard.
j'ai téléchargé ZHpcleaner voici les liens du rapport:
http://cjoint.com/?EEoacTbXPnG
http://cjoint.com/?EEoagkGSfHU

Utilisateur anonyme · Answer

ok,

? Télécharger et enregistre ADWcleaner sur ton bureau (de Xplode) ici : 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

ou ici

http://www.bleepingcomputer.com/download/adwcleaner/dl/125/

Note : si tu as déjà une version d'ADWC sur ton pc, pour avoir la dernière version de l'outil, il faudrait désinstaller celle-ci et le rétélécharger.
 
Lance le 
Accepte le contrat de licence d'utilisation 
clique sur scanner 
Patiente jusqu'à la fin, 
Une fois le scan terminé, clique sur le rapport 
Copie et colle la totalité du rapport sur ton prochain message

pushaman · Answer

Bonjour , ok je vais executer Adwcleaner et je te poste le rapport ici.

Pour info, 
depuis que j'ai utilisé Combofix, l'autre soir, 
dans poste de travail sur mon disque dur local (C:),
je ne trouve plus: "programme file"? 
(je voulais voir si dans "programme file " je trouverais Adwcleaner pour le désinstaller et le retélécharger comme demandé) 

Ce que je trouve dans disque local (C:) 
une icone Combofix (logo de l'icone/une tour et ecran d'ordi) et un dossier intitulé Qoobox. 
(il n'y été pas avant, je me demande pourquoi ce sont-ils fourrés à cet endroit?)
A ce meme endroit, je clique sur l'icone Combofix, je retrouve les mêmes infos et icones que dans poste de travail" (la même page que dans poste de travail, ? Cad, disque local (c:) disque (d:) disquette 3 demi (A) etc .. 
est-ce normal ou pas? 

bon je le lance Adwcleaner à suivre...

pushaman · Answer

voici le rapport d'Adwcleaner, j'ai l'impression qu'il est vide:

# AdwCleaner v4.204 - Logfile created 14/05/2015 at 13:55:00
# Updated 12/05/2015 by Xplode
# Database : 2015-05-12.2 [Local]
# Operating system : Microsoft Windows XP Service Pack 3 (x86)
# Username : Push - PUSH
# Running from : C:\Documents and Settings\Push\Bureau\adwcleaner_4.204.exe
# Option : Cleaning

 [ Services ] *****
 [ Files / Folders ] *****
 [ Scheduled tasks ] *****
 [ Shortcuts ] *****
 [ Registry ] *****
 [ Web browsers ] *****

-\ Internet Explorer v8.0.6001.18702


-\ Mozilla Firefox v37.0.2 (x86 fr)



AdwCleaner[R3].txt - [762 bytes] - [14/05/2015 13:44:39]
AdwCleaner[S1].txt - [688 bytes] - [14/05/2015 13:55:00]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [746  bytes] ##########

Utilisateur anonyme · Answer

je confirme, il est vide!
redémarre le pc pour voir si tu vois encore Surabaya !

si oui et si c'est au moment du démarrage, on verra dans Msconfig !

pushaman · Answer

j'ai redemarré le PC et il est toujours présent au demarrage de windows, juste avant la fenêtre bleue "Bonjour", il s'affiche

Utilisateur anonyme · Answer

ok, passe ceci, si pas de résultat, on le trouvera d'une manière à une autre !

à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »
 
ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger !
	


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée
 
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour 

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé" et sélectionne ton disque sur le quel est installé Windows,  puis examiner maintenant, 

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

pushaman · Answer

voila j'ai fait un scan malwarebyte voici le rapport

https://www.cjoint.com/c/EEouKDiz98T

pushaman · Answer

au redemarrage de windows, la fenetre "Surabaya in my birthday, don't kill me..." apparait encore

Utilisateur anonyme · Answer

Télécharge SEAF.exe (de C_XX) sur ton bureau. 

https://www.security-helpzone.com/download/global/SEAF.exe


? Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) . 

? Coche les cases: 
- Chercher également dans le registre 
- Informations supplémentaires 


? Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] : 

Surabaya


? Patiente pendant la recherche, et ne touche a rien ... 

? Une fenêtre avec un log .txt va s'afficher. 

? Copie/colle ce rapport dans ta prochaine réponse.

pushaman · Answer

ERREUR 403 FORBIDEN ! lorsque je clique sur le lien security helpzone SEAF.exe

pushaman · Answer

VOICI LE RAPPORT SEAF.EXE? il l'a trouvé !
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:26:16 le 14/05/2015
4. 
5. Valeur(s) recherchée(s):
6. Surabaya
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. 
18. ====== Entrée(s) du registre ======
19. 
20. 
21. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
22. "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya" (REG_SZ)
23. 
24. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
25. "LegalNoticeText"="Surabaya in my birthday
26. Don't kill me, i'm just send message from your computer
27. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
28. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
29. Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
30. Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0" (REG_SZ)
31. 
32. =========================
33. 
34. Fin à: 21:33:30 le 14/05/2015
35. 288361 Éléments analysés
36. 
37. =========================
38. E.O.F

Utilisateur anonyme · Answer

d'après ce que je vois, tu traine ce truc depuis pas mal de temps, donc ça ne date pas de peu !

bref, on peut le virer de 2 manières :

mode automatique (si le truc est détecté) avec roguekiller,

 *	[*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau 
Pour la version 32 bit, ici ? 
https://www.adlice.com/fr/?smd_process_download=1&download_id=2180

Pour la version 64 bit, ici ?
https://www.adlice.com/fr/?smd_process_download=1&download_id=2181    

[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. 
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Son site officiel :
https://www.adlice.com/fr/roguekiller/


Note 1 :

dans l'onglet registre, tu doit retrouver les clés, si l'outil les détecte, si c'est le cas, sélectionne les et lance la suppression !

normalement, tu ne devrais plus avoir le truc au démarrage !


si après le redémarrage, le truc est toujours là :

Suppression en mode manuelle :

vas dans le menu démarrer, puis exécuter,

dans la barre, tape regedit!

ouvre les branches en suivant ce chemin :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 


tu trouveras 2 sous clé avec ces noms :

"LegalNoticeCaption"  

 "LegalNoticeText"="

ouvre les une par une en faisant un clique droit dessus, puis modifier ou modifier la valeur actuelles :

="81u3f4nt45y - 24.01.2007 - Surabaya" (REG_SZ)

et

Surabaya in my birthday 
 Don't kill me, i'm just send message from your computer 
Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti 
 Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku 
 Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal 
 Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0" (REG_SZ)


efface leur contenu, si tu vois que tu n'y arrives pas, modifie tout simplement la valeur en les remplaçant par un  trait du 6 : "-"

ferme le tout et redémarre le pc pour voir !


tiens moi au courant pour voir la quelle des deux va fonctionner !

Utilisateur anonyme · Answer

je t'ajoute une capture pour t'aider :

pushaman · Answer

Merci pour ces infos, 
Comment savoir si mon Windows est un un 32bits? ou 64 bits? pour telecharger "RogueKiller"

Utilisateur anonyme · Answer

je pense que ton Xp est un 32 bit !

pushaman · Answer

il y a un moyen de le voir quelque part sur le PC ? si c un  32bits ou 64bits

pushaman · Answer

ok je telecharge "roguekiller" en version 32bits donc ;)

Utilisateur anonyme · Answer

tu le vois au dans le panneau de configuration système, ou sur les rapports des outils :

---\ Informations sur les produits Windows
~ Langage: Français
Windows Automatic Updates : OK
Windows Genuine Advantage : OK
Microsoft Windows XP, 32-bit Service Pack 3 (Build 2600)

pushaman · Answer

Bon j'y suis arrivé et je te remercie de ta très précieuse aide, vraiment.
je l'ai effacé à la main par regedit, en suivant tes recommandations. 

j'ai en 1er temps fait un scan avec roguekiller (le rapport ci-dessous) mais il n'apparaissait nulle part, alors je l'ai fait à la main et ça à fonctionné!
Rapport roguekiller: https://www.cjoint.com/c/EEpsqKsrdKI 
___________________________
Avec toutes ces recherches j'ai eu quelques petits "mouvements" sur le PC:
Est-ce que tu saurais me dire pourquoi, depuis que j'ai téléchargé Combofix l'autre jour (lorsqu'il a planté à 2reprises à l'étape50) 

Depuis dans mon disque dur: (C:) 
lorsque je clique, la fenêtre s'ouvre et dedans apparait Combofix (icône avec 1écran et 1tour d'ordi) et un dossier Qoobox(? sais pas ce que c'est/dedans dossier Quarantine) 
mais surtout, je ne trouve plus le dossier "Programme File", il a disparu?
 
Dans cette même fenêtre disque dur (C:) lorsque je clique sur l'icone Combofix en question, s'ouvre une fenêtre identique à celle de "poste de travail" avec à nouveau Disquette (A:), Disque (C:) Disque (D:) ect.. est-ce que je peux supprimer ce fichier combofix sans problème à cet endroit là?

Utilisateur anonyme · Answer

normal, Combofix remet en état certaines fonctionnalités de Windows, comme à l'origine, donc, tu dois retrouver une icone de poste de travail sur le bureau !

  

redémarre le pc pour voir s'il fonctionne correctement, il reste 2 bricoles à régler avant de se quitter

pushaman · Answer

C'est fait j'ai redémarré le PC, il s'allume normalement, 

lorsque le logo Windows apparait avec sa "barette bleue" qui défile 
aprés il y a un écran noir qui apparait un peu plus longuement qu'avant et ensuite ecran bleu "Bonjour" en peu plus long aussi, mais c'est relatif, ça fonctionne.

Ps: oui je confirme, j'ai l'icone "poste de travail" qui est sur le bureau, mais toujours pas de dossier "programe file" visible dans la fenêtre du disque (C:)

Utilisateur anonyme · Answer

il y est forcement puisque ton pc fonctionne !

fais afficher les fichiers cachés et ceux du système pour voir !

pushaman · Answer

Comment fais tu ça?

Utilisateur anonyme · Answer

regarde là :

https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/#pour-afficher-les-fichiers-et-les-dossiers-caches

pushaman · Answer

ok merci

Utilisateur anonyme · Answer

le dossier y est forcement puis que ton pc fonctionne, tes programmes y sont aussi !

pushaman · Answer

c'est fait, effectivement ils ont ré

pushaman · Answer

le dossier programme file a réapparut c'est ok.

est-ce que je recoche la case: "Masquer les fichier protégés du systéme d'exploitation" ? (recommandé)

pushaman · Answer

Tout à l'heure, tu parlais de 2 bricoles qu'il restait à régler avant de se quitter?

Utilisateur anonyme · Answer

normalement, il faut tout cacher, mais je les laisse pour voir ce qui se passe sur le pc !

 
Télécharge Delfix sur ton bureau : 

https://toolslib.net/downloads/viewdownload/2-delfix/

ou 

 


Coche les cases suivantes : 
=> Supprimer les outils de désinfection (coché par défaut) 
=> Purger la restauration système
 

 Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. 
 Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau 
 Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
 le rapport est stocké à cet emplacement : C:\DelFix.txt 
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

Note :
Delfix ne désinstalle pas MBAM, à toi de voir si tu souhaites le conserver ou désinstaller.




fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

pushaman · Answer

Voici le rapport Delfix:
# DelFix v1.010 - Rapport créé le 15/05/2015 à 20:42:05
# Mis à jour le 26/04/2015 par Xplode
# Nom d'utilisateur : Push - PUSH
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\Combofix
Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\All Users.WINDOWS2\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\SeafLog.txt
Supprimé : C:\Documents and Settings\Push\Bureau\AdwCleaner[S1].txt
Supprimé : C:\Documents and Settings\Push\Bureau\adwcleaner_4.204.exe
Supprimé : C:\Documents and Settings\Push\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Push\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\Push\Bureau\SEAF.exe
Supprimé : C:\Documents and Settings\Push\Bureau\SeafLog.txt
Supprimé : C:\Documents and Settings\Push\Mes documents\Téléchargements\adwcleaner_4.203.exe
Supprimé : C:\Documents and Settings\Push\Mes documents\Téléchargements\Extras.Txt
Supprimé : C:\Documents and Settings\Push\Mes documents\Téléchargements\OTL.Txt
Supprimé : C:\Documents and Settings\Push\Mes documents\Téléchargements\OTL.exe
Supprimé : C:\WINDOWS2\grep.exe
Supprimé : C:\WINDOWS2\PEV.exe
Supprimé : C:\WINDOWS2\NIRCMD.exe
Supprimé : C:\WINDOWS2\MBR.exe
Supprimé : C:\WINDOWS2\SED.exe
Supprimé : C:\WINDOWS2\SWREG.exe
Supprimé : C:\WINDOWS2\SWSC.exe
Supprimé : C:\WINDOWS2\SWXCACLS.exe
Supprimé : C:\WINDOWS2\Zip.exe
Supprimée : HKCU\console_combofixbackup
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~ Purge de la restauration système ...

Supprimé : RP #662 [Skype(TM) 7.2 supprimé | 03/23/2015 16:24:00]
Supprimé : RP #663 [Point de vérification système | 03/24/2015 17:14:54]
Supprimé : RP #664 [Point de vérification système | 03/30/2015 11:31:21]
Supprimé : RP #665 [Point de vérification système | 04/01/2015 11:38:44]
Supprimé : RP #666 [Point de vérification système | 04/04/2015 17:09:49]
Supprimé : RP #667 [Point de vérification système | 04/06/2015 16:37:11]
Supprimé : RP #668 [Point de vérification système | 04/08/2015 13:31:17]
Supprimé : RP #669 [Point de vérification système | 04/10/2015 16:11:03]
Supprimé : RP #670 [Point de vérification système | 04/11/2015 18:02:55]
Supprimé : RP #671 [Point de vérification système | 04/12/2015 19:14:43]
Supprimé : RP #672 [Software Distribution Service 3.0 | 04/18/2015 06:53:52]
Supprimé : RP #673 [Skype(TM) 7.3 supprimé | 04/18/2015 22:33:09]
Supprimé : RP #674 [Point de vérification système | 04/20/2015 08:54:46]
Supprimé : RP #675 [Point de vérification système | 04/21/2015 10:04:15]
Supprimé : RP #676 [Point de vérification système | 04/23/2015 12:59:42]
Supprimé : RP #677 [Point de vérification système | 04/24/2015 13:17:54]
Supprimé : RP #678 [Point de vérification système | 04/29/2015 16:19:07]
Supprimé : RP #679 [Point de vérification système | 04/30/2015 20:25:51]
Supprimé : RP #680 [Point de vérification système | 05/04/2015 04:56:41]
Supprimé : RP #681 [Point de vérification système | 05/05/2015 15:27:32]
Supprimé : RP #682 [Point de vérification système | 05/06/2015 18:41:49]
Supprimé : RP #683 [Point de vérification système | 05/07/2015 19:12:34]
Supprimé : RP #684 [Point de vérification système | 05/08/2015 20:06:13]
Supprimé : RP #685 [Manuels Utilisateurs a été supprimé | 05/10/2015 10:52:27]
Supprimé : RP #686 [Point de vérification système | 05/11/2015 17:35:39]
Supprimé : RP #687 [OTL Restore Point - 11/05/2015 23:55:30 | 05/11/2015 21:55:34]
Supprimé : RP #688 [Point de vérification système | 05/12/2015 22:02:33]
Supprimé : RP #689 [Software Distribution Service 3.0 | 05/13/2015 11:37:36]
Supprimé : RP #690 [Point de vérification système | 05/14/2015 12:53:10]
Supprimé : RP #691 [Point de vérification système | 05/15/2015 13:03:09]

Nouveau point de restauration créé !

########## - EOF - ##########
_________________________________________
J'ai fais un scan complet de l'ordi, avec Emsisoft le rapport est dans les liens ci-joint: 	
https://www.cjoint.com/c/EEpwErLMGaQ
https://www.cjoint.com/c/EEpwE1laAev

Utilisateur anonyme · Answer

super,

sur ce, bon surf  :-)

pushaman · Answer

Bonjour 
merci encore pour toute ton aide pour Surabaya :-)
______________________________________
C'est là serie des plantages c'est temps-ci, cela ne m'était pas arrivée depuis quelques années:
J'ai fait une mauvaise manip' hier au soir, après t'avoir posté les derniers rapports.

Dans le fenetre du disque (c :) j'ai supprimer un fichier "boot" pensant qu il etait en double ..grosse erreur! 

si bien qu'il ne demarre plus: demarrage de windows impossible 
le fichier BOOT.INI a disparu / ecran noir: il ne redemarre pas 
ni en mode sans echec 
ni en mode normal /en aucuns mode. 

j'ai lu quelque tuto: 
je suis dans le bios: 

j'ai donc inseré mon cd rom d'XP d'origine et sélectionné dans le setup pour qu'il se lance en 1er. 

Ensuite j'ai selectionné "R" (réparation)
puis je suis arrivé là: 

fixmbr
fixboot c:
puis enfin; bootcfg /rebuild :

Là: il me demande d'identifier le systeme d'exploitation: 
Sur mon PC, il y en a 2, 
un vieux que je n'utilise plus: [1]windows 
et celui que j'utilise: [2] windows2.
- j'ai donc selectionné:  [2] windows2.
__________________________________________
"Nombre d'installations reconnues : 2"
[1]:c:\windows
Ajouter l'installation à la liste des options de démarrage (oui/non/tout): n
[2]:c:\windows2 
Ajouter l'installation à la liste des options de démarrage (oui/non/tout): o
Entrez l'identificateur de chargement :
JE NE SAIS PAS CE QUE C'EST?
Entrez les options de chargement du système d'exploitation : 
JE NE SAIS PAS CE QUE C'EST? 

Deja, Est-ce que tu penses je suis sur un bon chemin là, pour restaurer boot.ini?
Si c'est le cas?, 
"l'identificateur de chargement" et "les options de chargement du système d'exploitation": Que faut-il repondre à ces 2 étapes?

Pour info je suis sur un autre PC en ce moment dans une autre piéce, connecté à internet.

Utilisateur anonyme · Answer

il ne fallait rien toucher, 

pourquoi chercher à supprimer des fichiers, surtout quand il s'agit de ceux du système ????

 ce fichier est en caché à la racine du disque !
il fallait remettre les attribues des fichiers en caché !

bref, là, il faut démarrer le pc sur un cd live, essayer d'accéder à la corbeille et restaurer le fichier !

autrement et vu que ton Cd ne doit pas contenir les Sp, tu vas être obligé de tout réinstaller !

j'ai déjà essayé de réparer un pc à partir d'un cd de XP, même en choisissant les bonnes options, je ne suis pas arrivé !

essaie et tu verras bien !

regarde par ici :

https://www.commentcamarche.net/faq/3155-windows-xp-recreer-le-fichier-boot-ini-pour-le-lancement

pushaman · Answer

Merci pour ton message ;)

Entre temps j'ai lu d'autres tuto qui m'ont guidé; j'ai réussis à le redémarrer par : bootcfg /rebuild 
avec le cd room XP windows en mode "reparation"
donc tout est ok, il fonctionne correctement.
_____________________________________________
Je ne me savais pas être aussi doué ! ;) 
C'est grâce à toi pour Surabaya déjà et je te remercie encore, 
enfin ce dernier boot.ini perdu, grâce à "Comment ca marche"!
Et que Vive ce forum! 

Bon Surf à toi, prends soins de toi également et encore merci pour toute cette aide! 
Peut-être, se recroiserons-nous par ici pour d'autres aventures qui sait! Bon Week-end :-)

Utilisateur anonyme · Answer

:-)

PC Infecté par le virus SURABAYA avant l'ouverture de windows !

44 réponses

Discussions similaires

Newsletters