Votre question

Pc qui reboot au démarrage après une infection

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Août 2011 02:04:07

Bonjour, euh... au secours? :sol: 

en surfant sur le net, j'ai subi une attaque via un fichier malveillant "EXP/pedief.hdi".

sur le coup, mon antivirus (avira) le bloque, alors je me suis dit que c'était bon...

en rallumant mon pc le lendemain, j'ai droit à un redémarrage systématique lors du processus de lancement de windows XP.

j'ai voulu redémarrer en mode sans échec avec prise en charge réseau, même résultat.

j'arrive cependant à démarrer en mode sans échec (sans prise en charge réseau), c'est toujours mieux que rien... mais c'est quand meme bizarre.
et je m'aperçois dans l'historique dans l'historique des alertes d'Avira, que l'attaque n'a pu être totalement contrée.

j'ai scanné le dossier windows avec avira et malware bytes (celui ci n'a pas été mis a jour depuis assez longtemps :/ ) et je n'ai eu aucune détection. je suis en train d'effectuer un scan complet avec les deux logiciels, mais je vous avoue être assez ennuyé. je ne peux plus utiliser normalement mon pc, ni aller sur internet avec (j'utilise mon portable pour écrire ce message). j'espere qu'il est possible de faire quelquechose...


si quelqu'un pouvait m'aider à résoudre ce problème, ce serait vraiment sympa!

merci d'avance.

Autres pages sur : reboot demarrage infection

a c 628 8 Sécurité
7 Août 2011 14:37:19

Bonjour,


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    A faire sur un pc fonctionnel :

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 628 8 Sécurité
    9 Août 2011 10:25:41

    Re,

    Tu as utilisé ComboFix tout seul ?
    Citation :
    [2011/08/07 08:01:24 | 000,000,000 | ---D | C] -- C:\ComboFix


    Poste son rapport, il doit être dans ce dossier.
    9 Août 2011 14:19:06

    en fait j avais essaye quelques programmes avant de poster ici sans succes. pour combo fix cela n avait pas fonctionne en mode sans echec. je crois qu il me disait que avira fonctionnait alors qu il etait desactive.
    de plus la date et l heure ne correspondent pas du tout au moment ou j ai voulu l utiliser - l heure etait peut etre pas bonne en mode sans echec?

    la quand jessaie de le lancer sous reat to go il me dit " you appear to have a corrupt download please download a fresh copy of combox fix.exe"... je n ai pas trouve de rapport dans le dossier combo fix.
    a c 628 8 Sécurité
    9 Août 2011 14:24:50

    re,

    Ok, alors le souci, c'est que sur le rapport OTLPE y'a rien de concluant pour le souci de démarrage, j'espérais voir si Combofix avait touché à quelque chose ...

    Tu as ton cd Windows original pour XP ?
    9 Août 2011 14:41:45

    bon, je confirme: l'heure est pas bonne en mode sans echec.

    j'ai essayé d'y lancer combox fix, et comme je le disais, il me dit que avira tourne toujours, alors qu'il n'apparait pas dans le coin en bas a droite ni quand je fais ctrl alt sup.

    en reatogo, il me dit que le fichier combox fix est corrompu. (c'est peut etre du à une précédente infection résolue. j'ai d'ailleurs toujours sur mon bureau depuis lors une icone "vierge" RSIT impossible à supprimer!!)

    sinon, oui, je viens de retrouver mon cd d'installation.

    j'avais essayé d'utiliser combo fix après le début de mon probleme de démarrage.

    à noter que les scans complets d'avira et de malware bytes (non mis à jour depuis un bail) n'ont pas signalé d'éléments malveillants.



    a c 628 8 Sécurité
    9 Août 2011 14:51:45

    Re,

    Si c'est bien un cd original et non un cd de récupération d'un pc de marque, tu vas pouvoir réparer Windows, ça ira plus vite si des fichiers systèmes sont corrompus :

    http://www.inforumatique.fr/forum/reparer-windows-t2263...

    Attention de bien choisir d'abord "Installer" Puis "réparer", dans cet ordre !

    Normalement cela conserve les programmes et dossiers personnel, mais par précaution, sauvegarde toujours tes données importantes avant !
    10 Août 2011 02:18:05

    Bon, j'ai suivi le tuto et les consignes à la lettre.

    Tout va bien jusqu au redémarrage de windows. La barre de chargement mouline, écran bleu:

    "un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.

    Si vous voyez cet ecran d erreur d arret, pour la 1e fois, redemarrez votre ordi. Si cet ecran apparait encore, suivez ces etapes: recherchez tout virus sur votre ordinateur. Supprimez tout disque dur ou controleur de disque nouvellement installé. Verifiez votre disque dur afin de vous assurer qu il est correctement configure et termine. Executer chkdsk /f pour verifier la presence d un dommage sur votre disque dur puis redemarrez votre ordinateur.

    Infos technique

    *** stop: 0000007b(0x8951640,0x00000034,0x00000000,0x00000000)"

    Mode sans echec: message genre " l installation ne peut se terminer en mode sans echec." La machine redémarre.

    Cet ecran bleu réapparait systématiquement quand je redemarre, y compris quand je veux relancer en mode sans echec.

    Je suis parti dans les invites de commandes, chkdsk /f: il n en veut pas (commande invalide) chkdsk /p: il m a verifie le disque dur sans me signaler d anomalie particuliere, chkdsk /r... Idem.

    Apres ça, je redémarre, écran bleu + message ci dessus... :/ 
    a c 628 8 Sécurité
    10 Août 2011 13:36:47

    Re,

    L'erreur indique un souci avec le disque et le secteur de démarrage, ce qui n'est pas étonnant.

    En invite de commande fais ceci :

    Citation :
    fixboot


    Valide avec entrée, il doit te demander si c'est bien le disque C: que tu veut réparer, valide en tapant "o" et "entrée"

    Regarde s'il y a du mieux.
    10 Août 2011 22:04:24

    ........... C est fait, mais........

    Ça ne marche pas :sol: 

    Je sais pas si ça a un impact, mais apres operation, je reboot en appuyant sur le bouton "reset" , ne sachant pas si une commande peut le faire.
    a c 628 8 Sécurité
    10 Août 2011 22:35:56

    Re,

    As-tu eu le message de confirmation après la commande ?

    Pour sortir normalement, il faut taper "exit" valider avec "entrée" et faire Alt+ctrl+suppr pour redémarrer
    12 Août 2011 00:30:55

    Oui, un nouveau secteur de demarrage a bien été ecrit. Redemarrage ok avec la commande exit, mais l ecran bleu est toujours present par la suite.

    a c 628 8 Sécurité
    12 Août 2011 10:42:38

    Re,

    Fait la même chose avec cette commande maintenant alors :

    Citation :
    fixmbr
    12 Août 2011 16:38:55

    ok, je fais ça... dès mon retour de congé dans 15 jours :p 

    merci pour ton aide jusqu'ici.

    à bientôt
    27 Août 2011 22:53:54

    me revoilà!! après quelques jours de repos ensoleillés. :sol:  et bien...

    trop baleze! merci hyunkel,

    je suis impressionné, le fixmbr a fonctionné!

    le pc a donc pu terminer son installation de windows xp à partir du cd.
    j'ai eu plusieurs messages d'erreur durant l'installation, que je n'ai malheureusement pas notés.

    au retour sur mon bureau, internet explorer ne fonctionne pas. erreur genre "le point d entree de procedure setdlldirectoryw est introuvable dans la bibliotheque de liaisons dynamique kernell32.dll".

    bref, je réinstalle le service pack 1 via le site microsoft. quand je clique sur internet explorer, l'erreur change (mais ça reste dans le meme genre.)

    je réinstalle le service pack 2, explorer plante toujours: " l'ordinal 410 est introuvable dans la bbliotheque de liaisons dynamiques urlmon.dll"
    je me sers de du navigateur "safari", qui lui fonctionne. il m'est impossible de réinstaller le service pack 3. j'ai téléchargé l'éxécutable sur le site microsoft. il apparait sous la forme d'une petite fenetre blanche et me dit que ce n'est pas une application win32 valide quand je clique dessus + impossible d'avoir recours à la mise à jour automatique.

    de plus, mon pc semble plus lent pour certaines choses (j'avais il y a un bail désactivé pour le démarrage tout un tas de services apparemment inutiles: dois-je le refaire?)
    Il ma fallu au moins une minute en cliquant pour demarrer afin que le deroulant apparaisse, pareil quand j ai cliqué sur eteindre pour que les boutons eteindre et demarrer apparaissent?!

    merci d'avance.
    a c 628 8 Sécurité
    28 Août 2011 09:24:24

    Re bonjour,


    Il faudrait tenter une réelle réinstallation de Windows alors au lieu de la réparation qu'on a fait, ainsi on formaterait le disque et on éviterait les erreur qu'il doit y avoir dessus !

    Sauvegarde tes données importante et si tu as le courage, cette fois-ci réinstalle Windows complètement au lieu de "réparer"
    Tu perdras toutes tes données personnelles et programmes.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS