Se connecter / S'enregistrer
Votre question

Antimalware doctor : impossible de redémarrer

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Septembre 2010 10:43:31

Bonjour,
J'ai été infecté par antimalware doctor et je ne parviens plus à redémarrer mon pc qui reboote en permanence, quelque soit le mode choisi (sans échec ou autre). Que puis-je faire ?
Merci de votre aide

Autres pages sur : antimalware doctor impossible redemarrer

a c 549 8 Sécurité
25 Septembre 2010 11:35:43

Bonjour,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient vous empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risque de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    sptd.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 549 8 Sécurité
    26 Septembre 2010 10:22:02

    Re,

    Ok, bien infecté oui ...


  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - [2010/09/18 10:40:14 | 000,745,984 | ---- | M] (imjmzsmjzr Corporation) [Auto] -- C:\WINDOWS\system32\dlo73.dll -- (bmdhmyii)
    SRV - [2010/09/18 10:28:54 | 000,219,648 | ---- | M] (Alexander Roshal) [Auto] -- C:\WINDOWS\system32\sshnas21.dll -- (SSHNAS)
    DRV - [2010/09/25 04:36:57 | 000,843,776 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\System32\drivers\pwdbsfa.sys -- (pwdbsfa)
    DRV - [2010/09/18 10:29:13 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) WinPcap Packet Driver (NPF)
    O4 - HKLM..\Run: [Device Detector] File not found
    O4 - HKLM..\Run: [mnoxscerwa.tmp] C:\DOCUME~1\mimil\LOCALS~1\Temp\mnoxscerwa.tmp File not found
    O4 - HKLM..\Run: [Soltek] C:\WINDOWS\system32\Autorun.exe ()
    O4 - HKU\mimil_ON_C..\Run: [handlerfix70700en00.exe] C:\Documents and Settings\mimil\Application Data\465F72763A7B162433F1F60676A51D96\handlerfix70700en00.exe (MS)
    O4 - Startup: C:\Documents and Settings\mimil\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk = C:\Documents and Settings\mimil\Application Data\465F72763A7B162433F1F60676A51D96\handlerfix70700en00.exe (MS)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 93.188.162.127,93.188.161.217
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.127,93.188.161.217
    [2010/09/18 10:29:13 | 000,281,104 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\wpcap.dll
    [2010/09/18 10:29:13 | 000,050,704 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\drivers\npf.sys
    [2010/09/18 10:29:12 | 000,100,880 | ---- | C] (CACE Technologies, Inc.) -- C:\WINDOWS\System32\Packet.dll
    [2010/09/18 10:29:08 | 000,183,296 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\Ddivoa.exe
    [2010/09/18 10:28:54 | 000,219,648 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\System32\sshnas21.dll[2010/09/18 10:27:20 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\pbyg1c.dll
    [2010/09/18 10:27:20 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\oktiave0y.dll
    [2010/09/18 10:27:20 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\mqll83ea.dll
    [2010/09/18 10:27:26 | 000,001,219 | ---- | M] () -- C:\Documents and Settings\mimil\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
    [2010/09/18 10:27:26 | 000,001,185 | ---- | M] () -- C:\Documents and Settings\mimil\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
    [2010/09/18 10:30:32 | 000,046,080 | ---- | M] () -- C:\WINDOWS\System32\updata.exe
    [2010/09/18 10:30:19 | 000,269,824 | ---- | M] () -- C:\WINDOWS\svc3.exe
    [2010/09/18 10:29:58 | 000,000,040 | ---- | M] () -- C:\WINDOWS\System32\service.sys
    [2010/09/18 10:29:57 | 000,163,328 | ---- | M] () -- C:\WINDOWS\System32\szetyj67v.exe
    [2010/09/18 10:29:55 | 000,180,224 | ---- | M] () -- C:\WINDOWS\System32\szetyj67vx.exe
    [2010/09/18 10:29:35 | 000,036,865 | ---- | M] () -- C:\WINDOWS\System32\msrcqxbq.dll
    [2010/09/18 10:29:04 | 004,410,368 | ---- | M] () -- C:\Documents and Settings\mimil\Local Settings\Application Data\637839.exe
    [2010/09/18 10:29:04 | 001,135,616 | ---- | M] () -- C:\Documents and Settings\mimil\Local Settings\Application Data\57976540.exe
    [2010/09/18 10:29:03 | 000,269,824 | ---- | M] () -- C:\WINDOWS\svc2.exe
    [2010/09/18 10:28:54 | 000,219,648 | ---- | M] (Alexander Roshal) -- C:\WINDOWS\System32\sshnas21.dll
    [2010/09/18 10:28:54 | 000,183,296 | ---- | M] (Alexander Roshal) -- C:\WINDOWS\Ddivoa.exe
    [2010/09/18 10:49:08 | 000,000,246 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
    [2010/09/18 10:46:36 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2010/09/25 04:36:57 | 000,843,776 | ---- | M] () -- C:\WINDOWS\System32\drivers\pwdbsfa.sys


    :Files
    C:\Documents and Settings\mimil\Application Data\465F72763A7B162433F1F60676A51D96
    C:\WINDOWS\system32\drivers\disk.sys|C:\WINDOWS\ServicePackFiles\i386\disk.sys /replace

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    a c 549 8 Sécurité
    26 Septembre 2010 12:46:04

    Ok,

    On continu, car doit y avoir d'autre fichier patché par l'infection.

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    dnsapi.dll
    ieframe.dll
    iertutil.dll
    mstask.dll
    ntdsapi.dll
    shell32.dll
    win.exe
    nvsvc32.exe
    smss.exe
    winlogon.exe
    taskmgr.exe
    mdm.exe
    cmd.exe
    user.exe
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    sptd.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 549 8 Sécurité
    26 Septembre 2010 14:53:47

    Re,

    Belle infection ... sacré paquet de fichier patché ...

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.foozir.com/
    [2010/09/18 10:34:00 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\mimil\.COMMgr
    [2010/09/18 10:27:20 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\pbyg1c.dll
    [2010/09/18 03:20:46 | 000,000,017 | ---- | M] () -- C:\WINDOWS\System32\auto.ini
    [2009/03/21 14:02:30 | 000,044,831 | ---- | C] () -- C:\WINDOWS\System32\En.ini
    [2009/03/21 14:02:30 | 000,021,811 | ---- | C] () -- C:\WINDOWS\System32\Autorun.ini
    [2004/08/03 22:55:02 | 000,085,504 | -H-- | C] () -- C:\WINDOWS\Fonts\services.exe
    [2010/09/18 10:27:26 | 000,060,004 | -H-- | M] (Microsoft Corporation) MD5=359DFFA61AB7C48692A04AD333833914 -- C:\WINDOWS\cmd.exe

    :Files
    C:\WINDOWS\system32\cmd.exe|C:\WINDOWS\ServicePackFiles\i386\cmd.exe /replace
    C:\WINDOWS\system32\dnsapi.dll|C:\WINDOWS\ServicePackFiles\i386\dnsapi.dll /replace
    C:\WINDOWS\system32\dllcache\dnsapi.dll|C:\WINDOWS\ServicePackFiles\i386\dnsapi.dll /replace
    C:\WINDOWS\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
    C:\WINDOWS\system32\ieframe.dll|C:\WINDOWS\$hf_mig$\KB2183461-IE8\SP3QFE\ieframe.dll /replace
    C:\WINDOWS\system32\dllcache\ieframe.dll|C:\WINDOWS\$hf_mig$\KB2183461-IE8\SP3QFE\ieframe.dll /replace
    C:\WINDOWS\system32\iertutil.dll|C:\WINDOWS\$hf_mig$\KB2183461-IE8\SP3QFE\iertutil.dll /replace
    C:\WINDOWS\system32\dllcache\iertutil.dll|C:\WINDOWS\$hf_mig$\KB2183461-IE8\SP3QFE\iertutil.dll /replace
    C:\WINDOWS\system32\mstask.dll|C:\WINDOWS\ServicePackFiles\i386\mstask.dll /replace
    C:\WINDOWS\system32\ntdsapi.dll|C:\WINDOWS\ServicePackFiles\i386\ntdsapi.dll /replace
    C:\WINDOWS\system32\shell32.dll|C:\WINDOWS\$hf_mig$\KB2286198\SP3QFE\shell32.dll /replace
    C:\WINDOWS\system32\dllcache\shell32.dll|C:\WINDOWS\$hf_mig$\KB2286198\SP3QFE\shell32.dll /replace
    C:\WINDOWS\system32\userinit.exe|C:\WINDOWS\ServicePackFiles\i386\userinit.exe /replace
    C:\WINDOWS\win.exe
    C:\WINDOWS\winlogon.exe
    C:\WINDOWS\mdm.exe
    C:\WINDOWS\nvsvc32.exe
    C:\WINDOWS\smss.exe
    C:\WINDOWS\taskmgr.exe
    C:\WINDOWS\user.exe


    :Commands
    [purity]
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    26 Septembre 2010 16:44:53

    Au moment ou je voulais publier le rapport dans cijoint..., j'au eu un message d'alerte windows (trojan etc) qui a rapidement disparu sous des messages "Windows - out of virtual memory"
    Du coup, internet explorer reste figé.
    26 Septembre 2010 17:44:59

    arf, j'ai quand même réussi à avoir un rapport (sans avoir vu ta dernière réponse) :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijD4us2...

    Je suis resté depuis le début sur boot cd, mais la dernière fois que j'ai lancé le scan fix à la fin otl a demandé à être rebooté pour achever le scan et fournir le rapport. J'ai fermé otl et l'ai relancé, j'ai eu le rapport... et les messages d'erreur.
    a c 549 8 Sécurité
    26 Septembre 2010 17:51:23

    Re,

    T'as eu ces alertes pendant que tu étais sur le LiveCD ? :heink: 

    Vas-y refais donc la manipulation que je te donne dans mon message précédent [:_tom_:7]
    a c 549 8 Sécurité
    26 Septembre 2010 19:55:26

    Re,

    Bon on va tenter de redémarrer normalement cette fois-ci.

    Retire le liveCD et démarre normalement le pc.

    Dis-moi comment il se comporte.


    Si son exécution est convenable et opérationnelle, fais-ceci (sinon, indique-moi les problèmes) :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    26 Septembre 2010 20:07:01

    retrait du cd et redémarrage en mode normal, ça ne fonctionne pas. Il reboote en permanence comme avant.
    a c 549 8 Sécurité
    26 Septembre 2010 20:10:24

    ok,

    A quel moment du démarrage ?

    Avant l'apparition du logo windows, après le choix de la session ?

    Tu as un cd original de windows ?
    26 Septembre 2010 20:15:52

    je vois windows qui charge sur un fond d'écran noir et je n'accède jamais à l apage bleue "bienvenue" ou un truc comme ça. Avant le choix de session.
    je n'ai pas le cd windows sous la main
    a c 549 8 Sécurité
    26 Septembre 2010 21:36:45

    Re,

    Bon, on va tester quelques trucs alors ...

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"

    :OTL
    DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
    DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
    DRV - File not found [Kernel | System] -- -- (PCIDump)
    DRV - File not found [Kernel | System] -- -- (lbrtfdc)
    DRV - File not found [Kernel | System] -- -- (i2omgmt)
    DRV - File not found [Kernel | System] -- -- (Changer)

    :Reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe"


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 549 8 Sécurité
    27 Septembre 2010 15:56:09

    Salut,

    Tu peux tenter un démarrage en mode normal voir si çà reboot toujours ?

    [:_tom_:7]
    27 Septembre 2010 20:49:14

    il reboote en continue comme auparavant (à noter que je n'ai pas eu le choix du mode démarrage)
    a c 549 8 Sécurité
    27 Septembre 2010 21:42:39

    Re,

    Ok, on va essayer autrement :


  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :Reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    27 Septembre 2010 22:29:56

    ah, j'ai à nouveau une alerte virale :
    Microsoft security essentials alert
    Unknown Win32/Trojan
    blabla
    et une deuxième fenetre qui me propose d'installer un system security pack 2010.78.932
    a c 549 8 Sécurité
    28 Septembre 2010 17:32:26

    Bonsoir,

    Je me renseigne auprès d'autre helper, j'ai jamais vu cette infection pouvoir être active sous environnement liveCD ...

    Je reviens vers toi au plus vite.

    En attendant, merci de faire ceci ;) 


  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"



    :Files
    C:\WINDOWS\system32\winlogon.exe|C:\WINDOWS\ServicePackFiles\i386\winlogon.exe /replace



  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    28 Septembre 2010 19:48:19

    encore quelques messages d'erreur, mais je retranscris le rapport :

    File C:\WINDOWS\system32\winlogon.exe successfully replaced with C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
    28 Septembre 2010 19:49:04

    Et merci Hyunkel pour le temps passé ;-)
    a c 549 8 Sécurité
    29 Septembre 2010 18:43:28

    Bonsoir ;) 

    Peux-tu tenter de démarrer normalement, pour me dire s'il reboot encore ?
    29 Septembre 2010 20:34:11

    ce coup-ci c'est bon, il a redémarré correctement. Il a l'air de réagir correctement.
    Next step ? :-)
    a c 549 8 Sécurité
    29 Septembre 2010 21:41:22

    :D  Cool,

    C'était donc winlogon le patché ...


    On continu ;) 

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Poste-le dans ta prochaine réponse ;) 
    29 Septembre 2010 22:06:27

    j'ai accès à tout les sites.... sauf à celui de malware et à ceux sur lequel je pourrai le télécharger.
    obligation de passer par le cd ?
    29 Septembre 2010 22:23:45

    j'ai réussi à l'installer, mais erreur lors de la mise à jour
    MBAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest)
    Je lance la recherche
    a c 549 8 Sécurité
    30 Septembre 2010 16:45:24

    Re,

    Ok, je vois que tu t'es très bien débrouillé sans moi :lol: 

    Oui, met à jour puis refais la manip.
    C'était le détournement de DNS qui devait bloquer.

    [:_tom_:7]
    a c 549 8 Sécurité
    30 Septembre 2010 19:53:54

    Re,

    Ok, des alertes encore ? des soucis ?

    Pour faire la vérif finale :

    Relance OTL
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous :
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Sélectionne "Avec liste blanche" sous "Recherche Registre : Approfondi"
  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 549 8 Sécurité
    1 Octobre 2010 16:09:18

    Re,

    Il semblerait oui ...

    Pour terminer :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    DRV - File not found [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\NPF.sys -- (NPF) WinPcap Packet Driver (NPF)
    DRV - File not found [Kernel | On_Demand] -- -- (axno8y8o)
    IE - HKU\S-1-5-21-789336058-1450960922-839522115-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
    O3 - HKU\S-1-5-21-789336058-1450960922-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\WINDOWS\fonts\services.exe"=-

    :Commands
    [emptytemp]
    [resethosts]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.
    a c 549 8 Sécurité
    2 Octobre 2010 10:35:27

    Ok,

    Je pense qu'on est bon, faisons un peu de ménage :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge ta restauration système :

    Elle peut contenir des restes de l'infection :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (bas du tuto)


    3) Met à jour :

    - Java vers la version 6 update 21
    - Adobe reader vers la version 9.3.4

    Vérifie que d'autre logiciel ne nécessite pas une mise à jour avec un scan comme celui de Secunia


    4) Tu ne possèdes aucun antivirus sur ton PC :

    Même si la première protection est ton comportement sur le PC et le net, un antivirus permet d'obtenir une protection supplémentaire, installes-en un gratuit parmis ceux-ci

    /!\ Un seul antivirus par PC /!\

    Antivir
    Avast!5
    Microsoft Security essentials

    Tu peux ensuite effectuer un scan complet de ton PC avec celui-ci.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    2 Octobre 2010 13:23:54

    hum... purge d'outils ?
    J'ai la version anglaise, j'ai run scan, run fix, mais rien qui ressemble à purge d'outils.
    a c 549 8 Sécurité
    2 Octobre 2010 15:08:51

    re,

    ha bon ? ton pc est configuré en US ?
    ha non, ok, t'es passé par OTLPE ...

    Bon sinon c'est "CleanUp" en haut à droite.

    [:_tom_:7]
    3 Octobre 2010 10:18:41

    Je n'ai pas de clean up en haut à droite.
    J'utilise OTLPE qui est sur le cd et ne voit rien qui ressemble à un OTL.exe.
    Je suis mal réveillé ? :heink: 
    a c 549 8 Sécurité
    3 Octobre 2010 10:25:29

    :lol: 

    Ok, oui, pour info depuis ce post, je t'avais fais normalement repasser en mode normal, pas via le CDlive :
    http://www.infos-du-net.com/forum/295267-11-antimalware...

    Mais c'est ma faute, je ne l'ai pas précisé ...

    Voilà alors quoi faire maintenant, sur ta session normale :

    Télécharge OTL (de Old Timer) sur ton bureau.

  • Lance-le en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")


  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    ;) 
    3 Octobre 2010 13:28:35

    J'avais bien suivi les indications, j'étais bien en mode normal.
    J'avais laisser le cd dans le lecteur, et c'est là que j'ai repris otlpe.

    En bref, j'ai purgé les outils, je n'ai pas purgé la restauration système (désactivée sur mon poste), j'ai mis à jour tous les logiciels, j'ai avast et fais un scan minutieux.
    Mais j'ai toujours un pb quand je navigue sur internet, j'ai des caractère bizarres en lieu et place des accents (lors de résultats de recherche via google). Et quand je clique sur les liens je suis redirigé vers d'autres sites... commerciaux...
    a c 549 8 Sécurité
    3 Octobre 2010 15:18:48

    Re,

    :sweat: 
    Citation :
    Mais j'ai toujours un pb quand je navigue sur internet, j'ai des caractère bizarres en lieu et place des accents (lors de résultats de recherche via google). Et quand je clique sur les liens je suis redirigé vers d'autres sites... commerciaux...


    Alors, c'est qu'on en a pas fini ...

    On repars sur le liveCD ...


  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    Ensuite, en redémarrant normalement, sans liveCD :

    Télécharge Bootkit Remover (de eSageLab) sur ton bureau.

  • Décompresse Bootkit Remover sur ton bureau.
    (Info : si tu ne possèdes pas de décompresseur, 7zip fera l'affaire)
  • Double-clique sur bootkit_remover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Le scan est immédiat, et une fenêtre d'invite de commande noire apparait.
  • Dans la fenêtre, fais un clic-droit -> "Sélectionner tout", puis appuie sur la touche "Entrée"
  • Reviens poster ici puis fais un clic-droit "Coller" pour que le contenu apparaisse dans ta réponse.
  • Tu peux appuyer sur une touche pour fermer la fenêtre de bootkit_remover.

    [:_tom_:7]
    3 Octobre 2010 19:14:38

    arf, je ne parviens pas à redémarrer en mode normal, il me demande (c'est louche, c'est pas comme d'habitude) mon login. Je rentre mon login, il me laisse passer 2 secondes et hop me redemande mon login. De plus il redémarre tout seul quelques minutes après que je l'ai éteint.
    a c 549 8 Sécurité
    3 Octobre 2010 21:39:35

    Re,

    Des chances que des fichiers aient de nouveau été patché, d'où le redémarrage ...

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"



    :Files
    C:\WINDOWS\system32\userinit.exe|C:\WINDOWS\ServicePackFiles\i386\userinit.exe /replace
    C:\WINDOWS\system32\svchost.exe|C:\WINDOWS\ServicePackFiles\i386\svchost.exe /replace
    C:\WINDOWS\system32\services.exe|C:\WINDOWS\ServicePackFiles\i386\services.exe /replace
    C:\WINDOWS\system32\ctfmon.exe|C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe /replace
    C:\WINDOWS\system32\alg.exe|C:\WINDOWS\ServicePackFiles\i386\alg.exe /replace

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.



    Si tu arrives à te connecter en mode normal, fais la procédure avec bootkit_remover, sinon, dis-le moi.

    [:_tom_:7]
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS