Votre question

Ordinateur probablement infecté, besoin d'aide ...

Tags :
  • Avast
  • Ordinateur
  • Virus
  • Avira
  • Protéger son ordinateur
  • Mot de passe
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Août 2012 14:42:36

Bonjour, bonsoir,

Je me permet aujourd'hui de poster un nouveau sujet sur ce forum sans même me présenter avant étant donné que mon problème semble empirer de jours en jours. Ainsi, et comme vous avez pu le lire dans le titre de mon sujet, je soupçonne ma machine d'être salement infectée. Afin que vous compreniez mieux, voici la petite histoire :
Il y a 3/4 jours, j'allumais mon ordinateur, comme tous les matins avant d'aller taffer, cependant, au moment d'accéder a ma session en y entrant mon mot de passe et après 'ouverture' de celle ci, je remarque quelque chose d'étrange. La barre de tache ainsi que l'icône du menu démarrer était skiné 'windows 98', mon fond d'écran inexistant ( noir ), et mes icônes disparues ( seul Ordinateur, Corbeille, et Mes Documents présents ). C'est alors que le message d'erreur ( dont je soupçonnais l'apparition prochaine ) s'afficha " C:\Windows\system32\config\systemprofile\Desktop fait référence à un emplacement non disponible. Il peut s'agir d'un emplacement situé sur un disque dur de cet ordinateur ou sur un réseau. Vérifiez que le disque est inséré correctement, ou que vous etes connecté(e) à Internet ou au réseau domestique, puis essayez à nouveau. Si vous ne trouvez pas l'information, elle a peut être été déplacée vers un emplacement différent. ".
C'est ainsi qu'en bon internaute qui se respecte, je m'empara de mon MacBook afin d'y entrer le message d'erreur. Une fois la solution trouvée, je reboot, j'ouvre a nouveau ma session tout en constatant que tout a fonctionner correctement. Malgré cela, je restais perplexe quant a l'apparition soudaine de cette erreur, ainsi que son origine. Je me met donc à surfer quelques minutes avant de remarquer quelque chose d'étrange : Avast ne semble pas fonctionner ( l'icône dans la barre de taches y est marqué d'une petite croix ). A partir de la, je commence sérieusement à m'inquiéter, mais impossible de rétablir la protection et ce, même en redémarrant. Par la suite, je decide donc de faire un scan avec Malwarebytes' anti-malware. Resultat ? aucun éléments infectés détecté, mais mon problème persiste. Je decide donc d'effectuer un scan avec Avast, et bien que non fonctionnel, celui ci détecte 2 ' virus ' que je decide de placer en quarantaine. Ainsi, me pensant libéré de toute infections, je décide de reboot. C'est alors que l'erreur enoncé au début revient a l'ouverture de ma session. Je décida donc de désintaller proprement, puis de réinstaller Avast. Je réussi donc à le désintaller proprement grâce à aswclear.exe, mais impossible de le réinstaller, a chaque fois que je lance l'installation a partir du fichier téléchargé sur Avast.com, celui plante ( rapport d'erreur etc .. ). Il est aussi important de noter que l'installation d'avira bug exactement de la même façon.

Résultat des courses : j'me retrouve avec un ordinateur probablement infecté, sans antivirus, et dont l'ouverture de session bug une fois sur deux.
C'est pourquoi, et après moulte recherche sur le net, je me résigne à créer mon propre sujet, tout en implorant votre aide.

Sur ce, j'espère que je n'ai pas était trop long,

Klimoun

Autres pages sur : ordinateur probablement infecte besoin aide

a c 628 8 Sécurité
10 Août 2012 19:07:21

Bonjour,

Tous ce que tu site fais référence à un problème de session, donc système, pas d'infection à priori.

C'était quoi les deux détections d'avast! (ou plutôt où : quel fichier, quel emplacement ) ? Tu t'en souviens ? (vu que t'as supprimé maintenant on est bonbon pour savoir ce qu'il avait détecté)

Tu n'avais rien fait le jour avant cette erreur ? installation d'un programme ou autre ?

Les programme n'arrivent plus à s'installer parce que ta session ne s'ouvre pas correctement.
10 Août 2012 19:15:11

Merci pour ta réactivité, j'commence vraiment a désespérer.

Pour ce qui est des deux détections d'avast, l'une provenait d'un fichier présent dans C:/Windows/System32, tandis que l'autre provenait de C:/Users/MonNomDeSession/Appdata/Roaming, du moins c'est tout ce dont je me souviens.

Le jour avant, je n'ai installé aucun programme, ni fait aucune manip' inhabituel.

Pour ce qui est de l'installation des programmes, tu as surement raison, cependant, ma session semble s'ouvrir normalement une fois que j'effectue la manip' trouvée sur le net.

J'ai aussi omis de préciser que le programme Windows Defender avait tendance à être instable ( Crash fréquent ).
Contenus similaires
a c 628 8 Sécurité
10 Août 2012 19:34:25

Re,

On va regarder un peu, à faire sous ta session si elle fonctionne :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 628 8 Sécurité
    10 Août 2012 22:16:00

    Re,

    Bon, plusieurs trucs à noter, maintenant je ne sais pas si cela joue pour le souci ...

    - Je vois OTM et ZHPdiag sur ce pc, les as-tu utilisé, crée des script de correction ou autre avec ? Ou es-tu aidé sur un autre forum ?

    - Ton disque principal est presque plein, ce qui provoque une erreur de création d'un fichier du système, même si non essentiel. Il faudrait voir à faire un peu de place

    - Pourquoi ce système n'est pas à jour, y'a une raison ? Manque les services pack et IE non plus n'est pas à jour.

    - Y'a des traces d'infection par adwares (logiciels publicitaire) et autre, qu'on va traiter pour voir.


    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (acbaj0ue)
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    IE - HKU\S-1-5-21-3884050789-137618744-3685043104-1001\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
    IE - HKU\S-1-5-21-3884050789-137618744-3685043104-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    O3 - HKU\S-1-5-21-3884050789-137618744-3685043104-1001\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O18 - Protocol\Filter\text/html {DC186800-657F-11D4-B0B5-0050BABFC904} - C:\ProgramData\dbghelp.dll (dekstop.de)
    O18 - Protocol\Filter\text/plain {DC186800-657F-11D4-B0B5-0050BABFC904} - C:\ProgramData\dbghelp.dll (dekstop.de)
    O33 - MountPoints2\{dba1ba34-9d1a-11de-a080-001d60b94a60}\Shell\AutoRun\command - "" = 9jyhdim8.exe
    O33 - MountPoints2\{dba1ba34-9d1a-11de-a080-001d60b94a60}\Shell\open\Command - "" = 9jyhdim8.exe
    [2012/08/05 12:12:49 | 000,000,000 | ---D | C] -- C:\ProgramData\system32
    [2012/08/05 12:12:10 | 000,098,304 | ---- | C] (dekstop.de) -- C:\ProgramData\dbghelp.dll
    [1 C:\Users\Clément\Documents\*.tmp files -> C:\Users\Clément\Documents\*.tmp -> ]
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    11 Août 2012 00:09:19

    Re,

    J'ai effectivement utilisé ZHPdiag pour créer un rapport afin de l'envoyer sur un autre forum, mais j'ai abandonné cette idée après d'autres recherche avant de retomber ici. Pour ce qui est de OTM, il fessait partie des programmes qui revenait fréquemment sur les topics de désinfectation, j'ai trouvé bon de le télécharger au cas ou j'ai à l'utiliser.

    Quant au disque C:/ qui contient une partie de mes documents personnels ainsi que le système d'exploitation, ça fait un bout de temps qui les sans arrêt plein, j'essaie de temps en temps de transférer des fichiers qu'il contient sur mon HD externe afin de toujours garder une vingtaine de gigas libre. Je vais essayer de libérer d'avantages d'espace si ça peut contribuer à résoudre mon problème.

    Pour les MAJ, j'était pas au courant. Habituellement j'essaie de veiller à effectuer les MAJ que Windows me propose, coupler à une MAJ régulière de mes pilotes graces à TLD.com. Par contre, je prend pas le temps de mettre a jour Internet Explorer étant donné que je l'utilise pas vu ces performances ; j'ai pris l'habitude d'utiliser Mozilla.

    En tout cas merci de ta prise en charge, ça fait plaisir de voir que tu te démène pour aider les autres.

    Voici le rapport après redémarrage automatique du PC : http://pjjoint.malekal.com/files.php?read=20120811_p8b1...

    Edit : J'ai fait un peu de place sur le disque C:/, j'ai maintenant plus de 60 gigas de libre.
    a c 628 8 Sécurité
    11 Août 2012 09:43:57

    Re,

    Tu n'as pas du tout copier le texte que je t'ai donné, qu'est-ce qu tu as fait ? Ou as-tu copié ce script ?

    Refais la procédure et copie bien ce que je marque, fais attention, c'est dangereux de faire un script sans connaissance avec cet outil !
    11 Août 2012 13:21:07

    Re,

    Je suis pourtant persuadé de bien avoir copié le texte que tu m'a fourni ( le second ). Mon erreur a peut ètre été, en croyant bien faire, de cocher à nouveau la case "Tous les utilisateurs".

    J'ai donc refais la procédure tout en ne cochant pas la case, voila ce que j'ai obtenue : http://pjjoint.malekal.com/files.php?read=20120811_j8g1...

    Par ailleurs, et aprés les manip' que tu m'a fais faire, j'ai réussi à installer Avira Antivir. Le hic ( decidément ) c'est que j'ai toujours le message d'avertissement de Windows comme quoi mon ordinateur n'est pas protégé. J'ai pourtant bien vérifier que Avira était actif et fonctionnel.

    a c 628 8 Sécurité
    11 Août 2012 14:06:01

    Re,

    Parfois le presse-papier conserve d'autre copie et quand tu colles, c'est pas la bonne chose, pas grave, maintenant c'est ok.

    On poursuit, on a pas encore fini.

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    a c 628 8 Sécurité
    12 Août 2012 16:10:31

    Re,

    OK, rien d'important.

    On va s'occuper du centre de sécurité de Windows maintenant (celui qui t'envoie l'alerte)

    Va sur celui-ci :
    Démarrer -> panneau de configuration -> centre de maintenance/sécurité

    Fais-moi une copie d'écran de l'alerte sur cette fenêtre :
    http://forum.security-x.fr/cours-et-tutoriels-322/%28tu...
    a c 628 8 Sécurité
    12 Août 2012 17:40:05

    Re,

    Ah, bah c'est juste qu'il s'entend pas avec Antivir ça ...

    Dès le début tu devais avoir cette alerte non ? Windows Vista ne gère peut-être pas Antivir dans son centre de sécurité, cela ne veut pas dire qu'il y a un souci avec ;) 

    Clique sur "afficher les autres options disponibles", puis "je gère moi-même mon antivirus" ou option semblable.

    Dis-moi si c'est bon et on conclura.
    12 Août 2012 18:08:37

    Re,

    Ça doit probablement ètre ça !

    J'ai cette alerte depuis la désinstallation de Avast. J'ai aussi remarqué cette ligne dans un des rapports que je t'ai envoyé, celui ou j'ai mal copié les commandes. ( http://pjjoint.malekal.com/files.php?read=20120811_p8b1... ) :

    " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride"|1 /E : value set successfully! "

    Peut ètre est-ce lié ?

    J'ai donc choisi l'option gérer mon antivirus moi même.
    Par contre impossible de réactiver Windows Defender : " Il n'y a pas de nouvelles définitions disponibles à télécharger pour Windows Defender. "

    a c 628 8 Sécurité
    12 Août 2012 20:21:43

    Re,

    Ben justement en plus de je sais pas où tu as sortie ce script de correction, cette valeur servait à mettre en veilleuse le centre de sécu pour l(antivirus puisqu'il le gère pas ...

    En fait on vient de remettre cette valeur pour éviter l'alerte.

    Citation :
    Par contre impossible de réactiver Windows Defender : " Il n'y a pas de nouvelles définitions disponibles à télécharger pour Windows Defender. "


    On verra à le réparer, mais je veux avant installé les services pack sur ce pc !

    Donc on va nettoyer les outil, créer un point de restauration et passer à l'installation des mises à jour.

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Mise à jour du système :

    Met à jour ton système vers le service pack 1 puis ensuite le service pack 2 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer :
    Démarrer -> tous les programmes -> Windows Update

    Dis-moi quand c'est ok ou si tu rencontres des difficultés.
    15 Août 2012 02:46:04

    Re,

    J'ai effectué avec succès la purge d'outils de OTL, ainsi que la purge des restaurations système, cependant, j'ai eu un problème quant à l'installation de SP1, et SP2.

    Enfaite, le lancement de la mise à jour ( SP1 ) se passe sans accroc, jusqu'au moment ou après la fin de la 3eme partie, mon ordinateur affiche : " Le Service Pack n'a pas été installé. Annulation des modifications. N'éteingnez pas l'ordinateur. ".

    Je ne peux donc ni installer SP2, ni mettre à jour IE étant donné que mon ordinateur refuse d'installer SP1.
    16 Août 2012 19:40:50

    Re,

    J'ai essayer avec le lien que tu m'a fournis. Le résultat est le mème.
    a c 628 8 Sécurité
    16 Août 2012 20:16:58

    Re,

    Ok, tu dois avoir un code d'erreur dans l'historique de windows update, donne-le moi (du style Code 8000000)
    Tu doubles-cliques sur la ligne marquée "échec" pour obtenir ces renseignements.

    (c’est dans "windows update" -> "afficher l'historique des mises à jour")

    16 Août 2012 22:00:17

    Re,

    Voila le code erreur que j'ai obtenu : 8024000B
    17 Août 2012 19:57:40

    Re,

    J'ai effectué le correctif mais un problème semble persister, voila le nouveau code erreur : 0x800F0826
    a c 628 8 Sécurité
    17 Août 2012 20:05:34

    Re,

    Tu as d'autres mises à jour en dehors du services pack 1 ?
    Si oui, fais-les avant. puis retente.

    Sinon, fait ceci :

    Télécharge CAT (de la Team Rocket Ops) sur ton Bureau.

  • Double-clique sur CAT.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de CAT.exe -> Exécuter en tant qu'administrateur)

  • Sur la page qui s'affiche, coche les options suivantes :

    Reset Windows Updates

  • Clique ensuite en dessous sur "Apply Checked Fixes"
  • Laisse l'outil travailler
  • Ferme le programme. (croix en haut à droite)

  • Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.

    Redémarre le pc et retente l'installation du SP1
    17 Août 2012 23:53:54

    Re,

    Une fois l'application télécharger sur mon bureau, lancée avec la case " Reset Windows Updates " cochée, voila l'erreur que j'obtiens :
    " AutoIt Error : Line 10667 (File "C:\Users\MonNomDeCompte\Desktop\CAT.exe"):

    Error: Variable must be of type "Object" . "


    Edit : J'ai effectivement une MAJ proposée par windows update, cependant elle concerne l'application Office Live Add 1.5, je n'ai donc pas jugé nécessaire de retenter l'installation de SP1 en effectuant cette MAJ auparavant.
    a c 628 8 Sécurité
    18 Août 2012 08:53:01

    Re,

    Supprime CAT.exe.

    Télécharge Fix WU Utility (de Ramesh Kumar (MVP) ) sur ton Bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer", ou simplement "Extraire" sous Win7)
  • Ouvre le dossier "Fix WU Utility" et double clique sur "Fix WU Utility 1.0.exe" pour lancer l'outil.
    Accepte l'avertissement de l'UAC

  • Sur la page qui s'affiche clique sur :
    Fix Windows Update

  • Le scan va durer plusieurs minutes, ne touche à rien pendant ce temps.
  • Il pourra t'être demandé de redémarrer le PC à l'issue du scan, fait-le, s'il ne le demande pas, redémarre le PC quand même.

    Retente l'installation après le redémarrage.
    19 Août 2012 13:47:18

    Re,

    Aprés avoir installer Fix WU Utility, fais la manip', et reboot, toujours le mème problème. Erreur code 0x800F0826
    a c 628 8 Sécurité
    19 Août 2012 19:25:24

    Re,

    Ok.

    Repart dans Windows update
    Ouvre l'historique des mises à jour.

    Recherche les mises à jour étant en "échec", et regarde pour chaque le code d'erreur.

    S'il est équivalent à 0x800F0826 , continu de chercher en arrière jusqu'à en trouver une qui n'est pas le même code d'erreur.

    Donne-moi le numéro de cette mise à jour (KB00000) et le code d'erreur qui l'accompagne s'il te plait.
    19 Août 2012 21:13:20

    Re,

    Alors je sais pas trop comment m'y prendre étant donné que j'ai 26 mise à jours libellées " Échec " dans l'historique de WU.

    -Voila donc le code erreur qui revient 3 fois : 80242016 associé au mise à jours KB950124, KB973346 et KB952287.
    -Voila un code erreur qui revient 1 fois : 40010004 associé a la mise à jour KB947821.
    -Voila un code erreur qui revient 1 fois : 80080008 associé a la mise à jour KB942004.
    -Voila le code erreur qui revient sur le reste des mise à jours : 800F0816

    Si jamais tu as besoin que je te détaille les code des mise à jours associé au dernier code erreur, fait le moi savoir dans ton prochain message.
    24 Août 2012 18:08:56

    Re,

    Mise à jour KB947821 installée et après reboot, l'installation de SP1 n’aboutis toujours pas.
    a c 628 8 Sécurité
    24 Août 2012 20:14:00

    Re,

    Essaye de réinstaller chacune des mises à jour en échec avant pour voir.
    4 Septembre 2012 00:40:12

    Re,

    J'ai tout essayé, pas moyen d'installer la mise à jour. Je pense qu'on peut clôturer le sujet, je pense bientôt changer de système d'exploitation, vista n'est vraiment pas au point selon moi.

    En tout cas un grand merci pour ton aide, en espérant d'avoir était des plus coopératifs.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS