PC bloqué par un virus Fermé

Question

Bonjour, 

Un ami vient de me confier un Acer V3-771G sous Windows 8.1. Celui-ci s’arrête de fonctionner au bout de 4-5 min ou alors des qu'une action visant a sécuriser le PC est mis en route. Tous les logiciels/services (non windows) présents au démarrage ont été désactivés (sauf Avast)

Plus précisément, lorsqu'un scan Avast commence, le PC se bloque. Lors d'une tentative de maj d'Avast c'est la même chose. Pareil avec un scan/maj malwarebyte. Le virus désactive tous seul l'Agent Actions Suspectes d'Avast. En mode sans echec par contre le PC fonctionne sans problèmes.

Je possède une clef WTG en W10. 
En bootant sur celle-ci, J'ai pu réaliser un scan Avast sur le DD interne. Il a détecter un virus sur pagefile.sys mais impossible a nettoyer car l'accès est refusé. J'ai donc fait un backup de se fichier sur une clef USB puis le supprimer du dd interne mais sans grand résultat. Ainsi qu'un scan malwarebyte. Il a détecté et supprimé 11 anomalies mais sans changements.

J'ai pu effectuer (péniblement) un scan AdwCleaner (sur le W8.1). Il a supprimé a peu prés 90 logiciels publicitaire. 

Ce que j'ai remarqué dans le gestionnaire de tache est la présence d'un processus sans nom qui arrive juste avant le blocage total du PC. En accédant au détail du processus, cela me renvoi vers un svchost d'une taille anormalement faible, 56 Ko. Ce processus n'est pas présent au démarrage du PC, vraiment juste avant le blocage total. Bien évidement, impossible de le killer (ouvert en tant que System).

J'aurai bien voulu voir si des script sont exécuté au démarrage du PC mais il n'y a pas de console gpedit. Je pense au registre mais je ne voit pas quelles clefs.

Merci d'avance pour votre aide.
 

Configuration: Windows / Firefox 53.0

Malekal_morte- · Answer

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Nokaddict · Answer

Salut Malekal,

Merci pour ton aide. Voici le lien vers les 3 fichiers : https://pjjoint.malekal.com/files.php?id=20170506_g6q8d10q8j9 (Dossier zipper)

Malekal_morte- · Answer

Pas infecté.
4GO de ram et trop de trucs qui tournent.

Désinstalle :
MyWinLocker 
NTI Media Maker  

y a des restes de McAfee, utilise MPCR : https://telecharger.malekal.com/download/mcafee-software-removal-mpcr/

Touche Windows + R
tape services.msc
dans la liste, double clic sur HitmanProScheduler
Mets le en désactivé.
Redémarre l'ordinateur.

puis :

Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

 Réparer Mozilla Firefox (premier paragraphe)
 Réparer Google Chrome (seulement le premier paragraphe).
 Réinitialiser et réparer Internet Explorer


Veuillez appuyer sur une touche pour continuer la désinfection...

Nokaddict · Answer

Je veux bien le croire mais c'est quand même étrange le module avast qui se désactive tous seul et le processus invisible.

Je ne peux pas désinstaller MyWinLocker car il est en hidden.

Merci pour ton aide en tous cas.

Nokaddict · Answer

Merci pour ces indication. néanmoins je m’interroge de la présence du dossier "bbimigrate" présent dans c:\windows\system32\config. Une recherche sur le net me renvoi vers un possible virus qui correspond à l'état du PC.

https://www.google.fr/search?q=%26%2334%3Bbbimigrate%26%2334%3B&ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=C4EQWeyVIsjCaOGTuoAN

Windows est devenue non bootable maintenant avec l'erreur 0xc000014C :
c:\windows\system32\config. Ce dossier "bbimigrate" ce trouve dans ce dossier config.