Problème démarrage WINDOWS XPRésolu/Fermé

Question

Bonjour, 

Il y a peu de temps, mon ordinateur a été infecté d'un virus/spyware/malware (aucune idée de ce que c'était) et mon portable ne pouvait plus démarer, exepté en mode sans échec. Avec une clé USB, j'ai pu mettre sur mon ordi "Hijackthis" et "autoruns", deux logiciels que mon cousin m'avait conseillé. Je lui ai envoyé un rapport, et il m'a dit quoi supprimer de la liste de démarage. En ce moment, mon problème est à moitier reglé. Il est parfaitement normal, à part un truc. Il est extrêmement lent à démarer, et il était extrêmement rapide avant l'infection. J'ai installé "CCLEANER" que j'utilise d'ailleurs tous les jours pour un nettoyage, et lorsque je vais dans liste de démarage, il y a trois éléments suspects qui ne devraient pas y être: "kheebyaudio" (rundll32.exe "mlkiij.dll",s) ; "iiijkjaudio" (rundll32.exe "mlkiij",s) ; "ssqpqosys" (rundll32.exe "vttprm.dll",s) . Lorsque je les supprime, ils reviennent automatiquement. Lorsque je les désactive, trois nouveaux apparaissent, nommés différement. J'ai installé au moins cinq antivirus depuis ce temps (les versions complètes), effectué un scan avec chaque. Tous mes antivirus les trouve, mais sont incapable de les supprimer. 

Aidez-moi svp :(

Utilisateur anonyme · Accepted Answer

Bonsoir

A priori ton cousin ne maitrise pas grand chose ;)

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

jullz · Answer

Bonjour,

J'ai installé le programme, voilà le fichier : http://www.cijoint.fr/cjlink.php?file=cj201009/cijEppt5OJ.txt 

Est-ce toi Guillaume qui me déconseille de faire ce que BoulgiBoulga m'a dit? C'est marqué -1 à coté de sa réponse..?

Utilisateur anonyme · Answer

Re

Tu peux constater que le message de BoulgiBoulga n'est plus là:
je l'ai supprimé.

reprenons les choses sérieuses:

1)=> Télécharge http://pc-system.fr/ de Dj QUIOU et la Team sécurité MicroHebdo 

=> enregistre le fichier sur ton bureau.

=> double clique( ou clic droit sous VISTA)
 sur le fichier WORT.exe pour lancer l'installation. /!\ sélectionne uniquement le bureau comme emplacement d'installation.

=> lance le programme en double cliquant(clic droit  vista) sur le fichier Wareout_removal_tool.bat et sélectionne l'option n°1

=> patiente durant la sauvegarde du registre puis lit bien les instructions à l'écran et laisse le programme analyser ton ordinateur.

=> Parfois il te faudra cliquer sur une touche pour continuer l'analyse

=>à la fin de l'analyse (qui peut durer jusqu'a 10 minutes) un rapport apparaît, si ce n'est pas le cas il se situe dans C:\WORT\WORT_report.txt. 
Poste moi le contenu de ce rapport. Fermes ensuite WORT et attends la suite de mes instructions.


2)Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


Poste moi les rapports au fur et à mesure ;merci.
@+

jullz · Answer

Bonjour,

Mon antivirus Kapersky PURE m'empeche d'installer le premier lien disant qu'il est dangereux..

jullz · Answer

Dois-je obligatoirement me mettre en mode sans echec pour lancer WORT? Je veux garder CETTE page ouverte pour suivre vos instructions..

jullz · Answer

Voici les résultats de WORT (que j'ai finalement effectué sans mode sans echec) : http://www.cijoint.fr/cjlink.php?file=cj201009/cij2L7tFZ6.txt

J'ai installé ComboFix, dois-je attendre votre réponse avant de le démarer?

jullz · Answer

Je suis présentement en train de faire le scan de combofix. N'ait pas peur, je suis présentement sur un autre ordinateur pour t'écrire. Comme tu me l'as demandé, je me suis déconnecté d'internet. Mais quand jouvre combofix, il me demande d'installer Console récupération alors jai replugé mon internet. Maintenant que l'installation est terminée, il me demande si je veux continuer l'opération. DOis-je retirer mon internet avant de cliquer sur oui?

jullz · Answer

Présentement, l'ordinateur a redémarré. Une fenetre d'erreur a apparu disant "Erreur de chargement de vttprm.dll Le module spécifié est introuvable"
Derrière, Combofix prépare le "compte-rendu". Le probleme, c'est que mon antivirus a l'air d'être reparti à cause du redémarage..

jullz · Answer

Bon, ComboFix a finalement terminé son rapport, que voici : http://www.cijoint.fr/cjlink.php?file=cj201009/cijYua2mIu.txt

Vous avez maintenant les deux rapports demandés, j'attends les résulats de votre analyse :)

Merci pour tout !

Utilisateur anonyme · Answer

Re

1)ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 

KillAll:: 

File::
c:\program files\Ask.com    
c:\windows\system32\mlkiij.dll

                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt



2)
 # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici :  http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


# Double clic sur le raccourci UsbFix présent sur ton bureau. 

# Choisi   Suppression  

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)




Poste les rapports au fur et à mesure ;merci.
@+

jullz · Answer

Mes parents ont besoin de moi, je n'aurai pas d'autres choix que de le faire plus tard, je vous laisse donc à vos heures de sommeils! Je vais le faire dans très peu de temps. Merci!

jullz · Answer

Bonjour,

Je n'ai vraiment pas compris votre étape "* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) "... Je ne sais pas si c'est ca qu'il fallait que je fasse, mais j'ai glissé mon CFScript.txt dans asdehi (combofix).. Ca a refait le scan de tantot et il a retrouvé les 2 sources que tu veux que je supprime.. Ca pas eu l'air de marcher donc je crois que ce n'est pas ca quil fallait que je fasse..

Voici le rapport de combofix "encore" : http://www.cijoint.fr/cjlink.php?file=cj201009/cijxGOjjUp.txt

Utilisateur anonyme · Answer

Bonjour

Impeccable;)
Passe à Usbfix

@+

jullz · Answer

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201009/cij5RlEAne.txt  

Désolé pour le délai :S

Utilisateur anonyme · Answer

Bonsoir

1)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html


2)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's. 

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



Poste moi les rapports au fur et à mesure;merci.
@+

jullz · Answer

Je suis présentement à l'école, je vais faire les prochaines étapes ce soir. Je voulais savoir si vous recommendez l'utilisation d'antivirus. Mes amis n'en ont pas et ils n'ont jamais eu de probleme.. J'avais Avira et aspersy et j'ai quand même eu un probleme.. Si je ne met pas d'antivirus et je fais ce que tu m'as dit de faire depuis le debut quand jai un probleme, est-ce que cest conseillé?

jullz · Answer

Voici le rapport Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201009/cijBrSXY3h.txt 

Je commence Malware..

jullz · Answer

Voici le rapport de Malware: http://www.cijoint.fr/cjlink.php?file=cj201009/cijxK4ELXH.txt 

J'attends vos futurs instructions capitaine :)

Utilisateur anonyme · Answer

Bonsoir

Poste moi un nouveau rapport ZHPDiag;merci.

@+

jullz · Answer

Je suis à l'école, je le ferai ce soir.. quel antivirus me conseille-tu côté efficacité ET rapidité de démarage lors de l'ouverture de l'ordinateur?

jullz · Answer

Nouveau rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201009/cijMMvpbYn.txt 

Est-ce que j'installe Antivir version gratuite ou je download le payant en torrent?

Utilisateur anonyme · Answer

Bonsoir 

1)Pour l'antivirus ;ce n'est pas moi qui paie. 


2)Utilsation de l'outil ZHPFix :  

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  
----------------------------------------------------------------------------------------------- 


O17 - HKLM\System\CS1\Services\Tcpip\..\{34998BCC-6437-4F9E-B894-8B604548CE9A}: NameServer = 93.188.162.231,93.188.161.231  
O17 - HKLM\System\CS1\Services\Tcpip\..\{822EB61A-0F6C-4E2D-9237-5E6C6A2AFFF7}: NameServer = 93.188.162.231,93.188.161.231  

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (tdssserv.Root)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (tdssserv.Root)

----------------------------------------------------------------------------------------------- 
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe   
 « Exécuter en tant qu'administrateur » 
.  

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK  

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !   

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!  


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.  

* Enfin clique sur le bouton [ Nettoyer].  


-> laisse travailler l'outil et ne touche à rien ...  


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !  

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...  

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )  

Pense à réactiver tes défenses !... 

A+ 

---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

jullz · Answer

Salut, 

Voici le dernier rapport ZHPFixReport: http://www.cijoint.fr/cjlink.php?file=cj201009/cijgYyZOVj.txt

Merci!

Utilisateur anonyme · Answer

Bonsoir

1)Supprime ce fichier sur le bureau:asdehi(ComboFix renommé)

2) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  tape 2  (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Pour désinstaller ensuite relance et passe à l'Option4.

3)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



@+

jullz · Answer

Je suis à l'école, je vais installer DelFix ce soir. Par contre, J'ai déjà Ccleaner, je l'utilise cinq fois par jour. Tous les cases qui peuvent se cocher le sont, sauf nettoyage espace libre qui prend une éternité. Chaque fois que je pars de mon ordi, je fais le nettoyage et la recherche d'erreurs dans le régistre.

jullz · Answer

Voici le rapport DelFix: http://www.cijoint.fr/cjlink.php?file=cj201010/cijtSmZjwS.txt 

J'ai supprimé asdehi

J'ai nettoyé avec Ccleaner

Utilisateur anonyme · Answer

Bonjour

Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


Après cela si tu n'as plus de problèmes ;je te propose de clore ce post.

@+

jullz · Answer

Je vous remercie infiniment! Wow j'ai beaucoup appris et j'espère que ça ne m'arrivera plus.. Merci d'avoir été avec moi tout ce temps! 

Au plaisir de vous avoir connu,

Jullz

Problème démarrage WINDOWS XP

28 réponses

Newsletters