Votre question

Virus : Disque dur vide ? bureau noir, et menu démarrer vide

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Février 2012 23:31:30

Bonjour,

J'ai mené quelques recherches sur votre forum, et je suis déjà tomber sur plusieurs autres sujets qui semblent ( je ne suis vraiment pas un expert en informatique) être un virus, tout comme moi. J'ai aussi vu qu'il fallait créer son propre sujet donc le voici..

Donc voila, aujourd'hui je crois avoir installer une mauvaise pub ( le programme devait s'appeler webplayer ), et depuis j'ai un disque dur dont les fichiers ont "totalement" disparu. J'ai mis le totalement entre guillement car le disque dur est toujours présent et de plus ils indiquent toujours l'espace utilisé, c'est juste lorsque j'entre dans le disque dur il n'y a aucun fichier. :(  Seulement voila j'ai vraiment besoin de ces fichiers et c'est pourquoi je ne veux pas formater mon ordinateur... Le bureau est noir et il n'y a plus aucun fichiers dessus aussi, et le menu démarrer est vide. Il y a aussi des tonnes de fenêtres indiquant ceci ""failed to save all the components for the system file\system32\000041bb. the file is corrupted or unreadable.. this error maybe caused by a PC hardware problem".
J'ai Norton antivirus au passage..

J'aurais besoin de votre aide pour régler ce problème/virus si evidemment s'en est un ?
Je vous remercie d'avance et attend vos suggestions.

Autres pages sur : virus disque dur vide bureau noir menu demarrer vide

a c 614 8 Sécurité
10 Février 2012 14:07:44

Bonjour,

C'est un rogue, un faux utilitaire d'optimisation et/ou sécurité, cela est dû à ton système non à jour, ou des logiciels tiers non à jour et la visite de site contenant des "exploit" (des fichiers spécifique pour infecter à travers ces failles de sécurité)
http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

Tes données sont "cachées", par contre ce genre d'infection installe d'autres infections plus dangereuse, il y a donc un risque de ne pas retrouver un état normal pour ton pc.


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    10 Février 2012 15:40:58

    Re,

    Citation :
    Windows Vista Home Premium Edition Service Pack 1
    Java(TM) 6 Update 23
    Adobe Reader 9.4.6
    Adobe Flash Player 10 Plugin


    Ton système et nombre de logiciels tiers ne sont pas à jour, c'est ainsi que tu t'es fait infecté !
    On mettra à jour en fin de procédure.

    Possible rootkit zeroacces, c'est pas bon ...

    1) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    [2010.04.28 16:05:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    O4 - HKU\.DEFAULT..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
    O4 - HKU\S-1-5-18..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
    O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present
    O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
    O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
    O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
    O7 - HKU\S-1-5-21-1386873407-661560485-204985158-1000\Software\Policies\Microsoft\Internet Explorer\Recovery present
    [2012.02.09 19:03:14 | 000,000,000 | -H-D | C] -- C:\Users\yu-seng\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
    [2012.02.09 18:34:42 | 000,000,000 | -H-D | C] -- C:\Users\yu-seng\AppData\Local\Babylon
    [2012.02.09 18:34:41 | 000,000,000 | -H-D | C] -- C:\ProgramData\Babylon
    [2012.02.09 18:34:40 | 000,000,000 | -H-D | C] -- C:\Users\yu-seng\AppData\Roaming\Babylon
    [2012.02.09 19:06:57 | 000,000,440 | -H-- | M] () -- C:\ProgramData\5KuIel1uJbOu5z
    [2012.02.09 19:03:30 | 000,000,304 | -H-- | M] () -- C:\ProgramData\~5KuIel1uJbOu5z
    [2012.02.09 19:03:30 | 000,000,208 | -H-- | M] () -- C:\ProgramData\~5KuIel1uJbOu5zr
    [2012.02.09 19:03:17 | 000,000,611 | -H-- | M] () -- C:\Users\yu-seng\Desktop\System Check.lnk
    [2011.12.10 19:32:24 | 000,000,000 | ---- | C] () -- C:\ProgramData\01PFRxVM.exe.b
    [2011.12.09 10:53:23 | 000,000,000 | ---- | C] () -- C:\Windows\System32\Yuf8q.com.b
    [2011.12.09 10:51:40 | 000,000,112 | ---- | C] () -- C:\ProgramData\dG8VGFfT8.dat

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    10 Février 2012 19:16:44

    Ah d'accord pour les logiciels je ne pensais pas que c'était si important de mettre à jour...

    Pour la suite, voici le rapport de OTL : http://pjjoint.malekal.com/files.php?id=20120210_t9g12i...

    Par contre, j'ai eut un petit soucis avec combofix, le rapport lorsque je clique dessus il ne se passe rien, de plus ce n'est pas un fichier texte ? Enfait au milieu de l'analyse il m'a afficher une fenêtre indiquant que sa avait toucher la pile tcp/ip je crois et qu'il s'agissait de rootkit zeroacces, seulement je pensais que sa allait s'afficher sous le rapport à la fin je n'ai donc pas copier ce qui a été écrit et je te le réécris ici par mémoire. Dois-je refaire une analyse avec combofix ?

    Edit : j'ai oublié de préciser que l'ordinateur a redémarrer tout seul.
    a c 614 8 Sécurité
    10 Février 2012 19:48:39

    Re,

    As-tu un rapport ici ?
    C:\Combofix.txt

    (donc à la base de ton disque dur.)

    dans tout les cas, fais ceci :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    11 Février 2012 03:05:57

    Bah enfaites pour le rapport, il y a un fichier à l'emplacement que tu me dis, mais lorsque je double-clique dessus il me rouvre comme si j'ouvrais "ordinateur"... Donc enfaites sa fait, sa : ordinateur/system C / combofix qui me redirige comme si j etais sur ordinateur, c'est compliquer à expliquer mais ce fichier ne contient absolument rien de textuel.

    J'ai aussi essayé de utiliser ton programme tdsskiller, cependant lorsque j'essaye de le lancer rien ne se passe. J'ai essayé plusieurs fois, même en redémarrant. Faut-il que je désactive norton antivirus ? ou le problème vient-il d'ailleurs?

    Je ne pourrais pas avoir accès à l'ordinateur infecté jusqu'à demain soir, je m'excuse d'avance pour le temps que je prendrais avant la prochaine réponse.





    a c 614 8 Sécurité
    11 Février 2012 10:22:12

    Re,

    Possible que les associations aient été détournée :

    Télécharge RstAssociations (de Xplode ) sur ton bureau.

  • Double-clique sur le fichier pour le lancer.
  • Coche les cases "exe" , "txt" et "com"
  • Clique sur "Restaurer"

  • Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse

    Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"

  • Ferme l'outil.

    Re-essaye le rapport combofix et TDSSkiller.

    Si cela ne fonctionne pas, fais ceci :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    12 Février 2012 02:15:53

    Bonsoir,

    Le rapport de RSST

    RstAssociations v1.3 - Rapport créé le 11/02/2012 à 22:12
    Mis à jour le 26/05/11 à 16h par Xplode
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
    Nom d'utilisateur : yu-seng - PC-DE-YU-SENG (Administrateur)
    Exécuté depuis : C:\Users\yu-seng\Desktop\rstassociations.scr

    ¤¤¤¤¤ Restauration ¤¤¤¤¤

    -> com ... association de fichiers restaurée !
    -> exe ... association de fichiers restaurée !
    -> txt ... association de fichiers restaurée !

    ¤¤¤¤¤ Résultats ¤¤¤¤¤¤

    -> [3 association(s) de fichiers restaurée(s) avec succès]
    -> [0 association(s) de fichiers non restaurée(s)]

    ########## EOF - "C:\RstAssociations.txt" - [754 octets] ##########

    Par contre j'ai ressayer avec combofix, le rapport qui est sensé être à l'emplacement reste le même, lorsque je double-clique il me renvoie sur ordinateur. TDSSkiller ne démarre pas, quand je l'exécute il ne se passe rien... J'ai donc fait comme tu me l'as dit avec Malware. Donc l'analyse c'est bien passé, ça a détecté 5 "objets", que j'ai tout coché et supprimer. Il y a une fenêtre qui apparaît de malware me prévenant qu'il a détecté un processus malicieux qui essaie de démarrer et qu'il a bloquer la tentative d'exécution.
    le fichier se trouve à l'emplacement : C:/WINDOWS/SYSTEM32/LXBU_DEVICE.DLL.
    ROOTKIT.0ACCESS.H
    Je l'ai mis sous quarantaine.

    Voici le rapport de malware :

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.11.06

    Windows Vista Service Pack 1 x86 NTFS
    Internet Explorer 8.0.6001.19088
    yu-seng :: PC-DE-YU-SENG [administrateur]

    Protection: Activé

    11.02.2012 22:59:53
    mbam-log-2012-02-11 (22-59-53).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 326703
    Temps écoulé: 1 heure(s), 47 minute(s), 6 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 1
    C:\Windows\System32\TestHandler.dll (RootKit.0Access.H) -> Suppression au redémarrage.

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Windows\System32\TestHandler.dll (RootKit.0Access.H) -> Suppression au redémarrage.
    C:\Users\yu-seng\Downloads\SoftonicDownloader_pour_warcraft-iii-reign-of-chaos.exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    a c 614 8 Sécurité
    12 Février 2012 11:05:01

    Re,

    Le rootkit est toujours là.

    Télécharge une nouvelle version de Combofix, et relance-le :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    12 Février 2012 13:40:46

    Re,

    Je t'ecris depuis un autre poste car suite a l'utilisation de combofix je n'arrive plus a acceder a mon ordinateur. :(  combofix a fait comme d habitude jusqu'au redemarrage, le portable s'allume toujours seulement le clavier et toute les touches du portable ne fonctionne plus et comme j'ai un mot de passe pour entrer dans la session je ne peux rien faire :/  comment faire pour reactiver le clavier? Peut etre faut-il que je demarre en mode sans echec, il faut juste que vous m'expliquiez comment demarrer en mode sans echec, je n'ai pas reussi a trouver.

    Desole pour le manque d'accent je t'ecris depuis mon mobile.
    a c 614 8 Sécurité
    12 Février 2012 14:27:55

    Re,

    Le souci du rootkit zeroaccess est qu'il attaque des pilotes du système, et selon les dégâts, l'ordi peut se retrouver HS.

    Le clavier et la souris, ce sont des connectique USB ou c'est une unité centrale, et des connectique ps2 (fiche verte et violette) ?

    Mode sans échec au cas où pour voir :

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.
    12 Février 2012 20:31:07

    C'est un ordinateur portable, mais j'ai une souris par usb, qui elle fonctionne. La "souris"(il ne s agit pas d'une souris mais je ne sais pas comment sa s'appelle, le pad tactile peut etre) directement avec le portable ne fonctionne pas comme le clavier.J'ai essayé avec le mode sans echec aucun succes le clavier ne repond plus a rien. Je vais essayer de trouver un clavier que je pourrais brancher par usb ou il y a t il un moyen de reactiver le clavier ?
    a c 614 8 Sécurité
    12 Février 2012 21:38:27

    Re,

    Ok, c'est donc ton pilote qui gère le touchpad et le clavier qui est OUT. C'est bizarre ça.

    Si tu as un clavier usb ce serait pas mal oui, sinon il va falloir qu'on passe par un livecd peut-être.
    12 Février 2012 23:29:46

    OUT veut dire qu'il ne sera plus utilisable? Je vais essayer de trouver un clavier usb mais est-ce qu'il y a une autre solution car je ne crois pas avoir de contact ayant un clavier usb et de plus je n'aimerais pas en acheter un juste pour l utiliser une seule fois.
    a c 614 8 Sécurité
    13 Février 2012 14:13:48

    Re,

    Je pense qu'il est toujours fonctionnel, c'est le pilote qui est HS.
    Maintenant remettre un pilote sans avoir un clavier, et surtout sans accès à ta session c'est assez ... difficile ...

    Quand tu es en mode sans échec, as-tu accès à la session "administrateur", ou une autre session admin que la tienne ? on pourrait peut-être passer par celle-là pour réparer.
    13 Février 2012 20:54:18

    J'ai reussi a acceder a mon ordinateur, en fouillant un peu on peut enfait activer un clavier visuel, toutefois il fallait une souris qui se branche par usb. J'ai ensuite ete dans gestionnaire de perioherique et j'ai cliquer sur mettre a jour en ligne et recherche de solution. Et je ne sais pas comment mais d un seul coup le peripherique du clavier refonctionne mais la souris elle non. C'est des peripheriques ps/2.

    Pour la suite je suis retourner dans le c/ combofix pour le rapport et il s'agit encore du meme fichier qui ne produit toujours aucun effet. J ai essayer de lancer tdsskiller toujours rien :/ 
    a c 614 8 Sécurité
    13 Février 2012 21:54:19

    Re,

    Bon c'est déjà ça.

    Pour Combofix, c'est généralement dû au fait qu'il n'a pas terminé son boulot, il aurait du finir une fois le pc redémarré.

    On va essayer ceci :
    Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ZeroAccessRemover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre de commande noire apparait pour confirmer la demande de scan, répond avec "Y" pour "oui" et valide avec "entrée"

    Deux cas sont possible à l'issu du scan :

  • L'outil détecte l'infection, et indique que des fichiers sont patchés (lignes rouge à l'écran), il va te proposer de lancer le nettoyage, répond avec "Y" pour "oui" et valide avec "entrée"
  • L'outil va travailler et tu verras apparaitre un message "Cleaned", appuie alors sur une touche pour laisser le pc redémarrer.
  • Un rapport nommé "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle son contenu dans ta prochaine réponse.

  • Si l'outil ne détecte rien, (que des lignes vertes), dis-le moi.
    14 Février 2012 00:55:24

    Re,

    L'outil a détecté et supprimer des choses voila le rapport :
    Webroot AntiZeroAccess 0.8 Log File
    Execution time: 14/02/2012 - 00:44
    Host operation System: Windows Vista X86 version 6.0.6001 Service Pack 1
    00:44:06 - CheckSystem - Begin to check system...
    00:44:06 - OpenRootDrive - Opening system root volume and physical drive....
    00:44:06 - C Root Drive: Disk number: 0 Start sector: 0x01194800 Partition Size: 0x0B869800 sectors.
    00:44:06 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".
    00:44:07 - InstallAndStartDriver - Main driver was installed and now is running.
    00:44:07 - CheckSystem - Warning! Disk class driver is INFECTED.
    00:44:07 - CheckFile - Warning! File "cdrom.sys" is Infected by ZeroAccess Rootkit.
    00:44:16 - CheckExecutableEP - Unable to open "c:\windows\system32\slsvc.exe" file. CreateFile last error: 5
    00:44:31 - DoRepair - Begin to perform system repair....
    00:44:31 - DoRepair - System Disk class driver was repaired.
    00:44:31 - DoRepair - Infected "cdrom.sys" file was renamed.
    00:44:31 - DoRepair - Infected "cdrom.sys" file was successfully cleaned!
    00:44:31 - DoRepair - "desktop.ini" ZeroAccess file NOT found.
    00:44:31 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
    00:44:31 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
    00:44:31 - Execution Ended!


    a c 614 8 Sécurité
    14 Février 2012 09:13:25

    Re,

    Ok réessaye de lancer combofix alors s'il te plait.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS