Des trojans bloquent le mode sans echecRésolu/Fermé

Question

Bonjour,     

Mon PC Packard bell qui est sous Windows XP a des soucis depuis une semaine.    
 Il a commençé par redémarrer  tout seul plusieurs fois en mode normal puis quand j'ai pu rentrer dans les comptes, je me suis appercu que mon compte administrateur n'avait plus son fond d'écran habituel et que je ne pouvais ouvrir aucun programme. Les autres comptes utilisateurs était normaux.     
J'ai fait une restauration systeme en choisissant 1 semaine avant mais il n'y a pas eu d'amélioration: le PC continuait de redémarrer tout seul donc, pensant à un virus, j'ai désactivé la restauration et supprimé le compte adminsitrateur pour en créer un nouveau.    
Maintenant, mon PC est normal sauf pour le mode sans echec ou il redemarre sans cesse avant d'avoir pu rentrer 2 ou 3 lettres de mot de passe.   C'est embétant car il est fortement conseillé en cas de virus de faire toutes les analyses en mode sans echec. 
 J'ai donc fait des scan en mode normal avec mon antivirus g data, avec superantispyware, malwarebyte, spybot, avec bitdefender on line, fsecure et tous me trouvent rien. Seul Panda on line me trouve un virus Solow et propose de desinfecter pour 15 euros.  J'ai booté sur le cd de mon antivirus et il trouve rien. 
Je ne sais plus quoi faire à part lancer une réinstallation usine qui permet peut etre de supprimer tout virus.    
Pourriez vous m'aider ? merci    

Configuration: Windows XP / Firefox 3.6

ali-marv · Answer

bonjour essaie la commande chkdsk 
touche windows +r ensuite tu tape cmd et ensuite tu tape chkdsk

bylka · Answer

Merci pour ton intervention. j'ai oublié de signaler que j'ai fait un chkdsk avec la console de recuperation .Il m'a réparé des trucs mais il ya pas eu de changements.

bylka · Answer

bonjour
voici le message d'erreur que j'ai réussi à voir juste avant que le pc redémarre: 
un probleme empeche windows de verifier avec precision la licence de cet ordinateur code erreur: 0x80070013
Que dois je faire svp ? merci

bylka · Answer

J'ai lancé la réinstallation packard bell à l'aide du dvd pour remettre mon pc à l'état d'usine. A présent, le pc accède au mode sans échec. Par contre, mon antivirus n'arrive pas à charger donc ne peut pas faire d'analyse alors que j'en avais fait dans le passé en mode sans échec.
G data n est pas prevu pour fonctionner en mode sans echec donc  c est ok.

bylka · Answer

Bonjour
Suite à la restauration , je pensais avoir réglé mon probleme de virus ou de troyen mais après 2 jours, c'est revenu comme avant: impossible d acceder au mode sans echec. J'ai donc décidé hier de changer le disque dur en  mettant un tout neuf.
J'ai reinstallé windows à l'état usine, fait les mises à jour en pensant que tout serait bien . Aujourdhui, je lance ad aware et il me trouve un trojan win32 generic bt et le supprime. Je redemarre comme me le conseille ad aware. Puis je decide d essayer le mode sans echec et ca ne marche pas comme avec le disque dur precedent. Je pensais que les virus se trouvaient dans le disque dur et qu'en  le changeant, j'en aurais plus. Est ce quelqu un peut m aider à faire un diagnostic svp ? Merci 
Je vais faire un scan avec malwarebyte, anti-malware et superantispyware que je connais . Je ne pourrais le faire qu en mode normal.

bylka · Answer

Bonjour
Malwarebyteb a trouvé un trojan meredrop et l'a supprimé mais je n'ai toujours pas accés au mode sans echec.
Comment se fait il que j'ai les meme trojans sur mon nouveau disque dur que ceux que j'avais sur l'ancien ? Des trojans peuvent se mettre en dehors du disque dur ?
merci de bien vouloir m'aider.

bylka · Answer

Bonjour
au cas ou quelqu un voudrait m'aider, je mets les rapports faits par RSIT.

https://www.cjoint.com/?0lyxcgYCPh6

https://www.cjoint.com/?0lyxeffCCII

svp

Lyonnais92 · Answer

Bonsoir,

essaye ceci :

Télécharge SafeBootKeyRepair depuis https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Enregistrer ce fichier sur le Bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Fais un double clic sur SafeBootKeyRepair.exe pour lancer l'exécution de l'outil. 

réactive ton parefeu, ton antivirus, la garde de ton antispyware

Poste le rapport de SafeBootKeyRepair (contenu du fichier C:\SafeBoot_Repair.txt)

bylka · Answer

Bonjour lyonnais92
c'est sympa d essayer de m'aider.
J'ai suivi ta procedure mais le mode sans echec ne marche toujours pas .
voici le rapport : 
https://www.cjoint.com/?1lBqcjARyHl
Si tu as une autre solution, je suis preneur . merci

Lyonnais92 · Answer

Bonjour,

j'ai plusieurs idées possibles (dont celle trouvée ici :

https://support.microsoft.com/en-us/help/310794 )

Tu n'en fais rien, je note la référence pour ne pas avoir à la rechercher.

Je vais utiliser un autre analyseur que RSIT, que je connais mieux et qui va à la fois me donner un outil intégré de correction et, peut être, des informations complémentaires sur une infection très ennuyeuse dont le rapport RSIT mentionne le risque.

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

bylka · Answer

Bonjour lyonnais92, j 'ai lancé zhpdiag .

voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijaZjOx7n.txt 

NB: Après avoir installé ZHPDIAG, j'ai eu 1 autre icone créé en plus des 2 que tu  as cité : MBRCHECK et à la fin du diagnostic, j'ai sur le bureau un fichier texte MBRCHEK; est ce normal ? 

Merci
a +

Lyonnais92 · Answer

Bonjour,

le rapport ZHPDiag ne montre rien d'évident.

La présence de l'icône et du rapport est normal. On enlèvera ça à la fin.

As tu toujours le message avec le code erreur: 0x80070013  ou est-il parti dans les restauration successives ?

Peux tu éditer le fichier Boot.ini et copier son contenu ici ? utilise ce lien qui te donne la procédure ; https://docs.microsoft.com/fr-fr/troubleshoot/windows-server/deployment/manually-edit-boot-file

bylka · Answer

Bonsoir lyonnais92

Mon PC serait il sain et le problème du démarrage en mode sans echec juste une conséquence de trojans supprimés ? 
 
voici le fichier boot de mon pc : 

[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect /usepmtimer

Quand je veux démarrer en mode sans echec, soit le pc redémarre sans message , soit il y a un message où le début est " une erreur empeche ..."
J'ai pas eu le temps de tout voir et en rééssayant, j'ai plus eu de message.

NB: en essayant il y a une semaine une procédure d'un autre forum, j'ai une ligne "do not select this" sur l ecran où on choisit entre la consol de récup et windows. J'aimerais bien la supprimer si c'est possible.

a + et merci

Lyonnais92 · Answer

Re,

une nouvelle piste avec le commutateur usepmtimer.

Mais on va regarder la piste du message.

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\Providers

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

bylka · Answer

bonjour lyonnais92
je n'ai pas de dossier cryptography dans Microsoft.
A +

Lyonnais92 · Answer

Bonjour,

on va regarder ce que donne la suppression du commutateur.

Ouvre C:\boot.ini (tu ouvres l'explorateur Windows et tu fais un clic droit sur le fichier et Ouvrir) dans le Bloc-notes.

Tu le sauves sous C:boot.ini.bak

Tu le réouvres et dans la dernière ligne, tu enlèves 

/usepmtimer


Vérifie que tu n'as pas de caractère caché après /fastdetect

Sauvegarde le fichier.

Redémarre l'ordi en mode normal.

En cas de problème, remets le fichier initial en Consolke de récupération.

Quand l'ordi a démarré en mode normal, essaye de le démarrer en mode sans échec (sois patient tant que le tiret en haut à gauche clignote, le démarrage est en cours).

bylka · Answer

Bonsoir

je ne trouve pas le boot.ini à la racine même en affichant les fichiers cachés.
J'ai essayé en exécutant msconfig puis boot.ini mais après je sais pas quoi faire pour suivre ta procédure.

Lyonnais92 · Answer

Re, 

cherche le par la fonction rechercher de Windows (cherche sur boot.ini). 

Dis moi d'abord où tu le trouves. 
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

bylka · Answer

salut lyonnais92, 

je ne le trouve pas même en utilisant la fonction rechercher de windows. J'ai juste le backup. C'est bizarre, j'ai lu sur des sites que boot.ini devait être à la racine de C en caché.

Lyonnais92 · Answer

Bonnjour,

édite le back-up avec le Bloc notes, vérifie qu'il est identique à celui que tu vois dans MSConfig.

Copie le (sauvegarder sous ) à la racine (C:\boot.ini)

Vérifie que tu as les 2 fichiers présentes.

Redémarre en mode normal puis en mode sans échec.

bylka · Answer

salut lyonnais92

Rectification : j'ai juste un fichier boot.bak à la racine de C; pas de backup.

Lyonnais92 · Answer

Re,

c'est ce fichier boot.bak qui est le backup de boot.ini.

C'est sur lui que tu fais ce que j'ai demandé au-dessus.

bylka · Answer

salut lyonnais92,
le contenu de boot bak n'est pas complètement identique.
voici le contenu de boot bak:
https://www.cjoint.com/?1mbtu6C7zUZ

dois je quand meme l enregistrer à la racine? 
merci

Lyonnais92 · Answer

Bonsoir,

ouvre le Bloc Notes, copie 

[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

Sauvegarde le sous C:\boot.ini

Si on te dit que le fichier existe déjà et si tu veux l'écraser, tu réponds "non" et tu me préviens.

bylka · Answer

J'ai le message " C:\boot.ini existe déja.Voulez vous le remplacer ? "

Pourtant, ce fichier est introuvable. Je compends pas.

Lyonnais92 · Answer

Re,

ouvre l'explorateur Windows.

Clique sur Outils, Options des dossiers.

Vérifie que Afficher les fichiers et dossiers cachés est coché

et que masquer les fichiers du système d'exploitation est décoché.

Renomme boot.bak en boot.bak2

bylka · Answer

J'avais pas décoché " masquer les fichiers protégés du systeme d'exploitation" 

J'ai trouvé avec rechercher un fichier boot dans c:/ mais il s'appelle pas boot.ini 

je pense que ca doit quand meme etre celui la. 

Je dois donc faire la procedure que tu m as decrite le 29/11  a 19h11 ?

Lyonnais92 · Answer

Re,

il s'appelle comment ?

Vérifie son contenu avec le Bloc Notes (clic droit sur le fichier, Ouvrir avec, choisir Bloc Notes).

bylka · Answer

slt lyonnais92 ,

le dossier s'appelle " boot"  , le contenu est celui -ci: 

 [boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect /usepmtimer

Lyonnais92 · Answer

Bonsoir,

dans les options d'affichage, vérifie que "Masquer les extensions des fichiers dont le type est connu" est décochée.

Le fichier est toujours "boot" ou "boot.ini" ?

bylka · Answer

slt lyonnais92
Après avoir décoché " masquer les extensions...", le fichier boot.ini apparait.

Lyonnais92 · Answer

Bonsoir,

OK

alors renomme boot.bak2 le fichier boot.bak

sauvegarde boot.ini en boot.bak

réouvre boot.ini et supprime /usepmtimer

vérifier qu'il n'y a rien après /fastdetect

enregistre.

Fais redémarrer l'ordi en mode normal puis essaye de redémarrer en mode sans échec.

bylka · Answer

ca ne marche pas . Par contre , avec mon camescope, j'ai pu enregister le message de windows :  " windows ne peut pas creer un repertoire de profil temporaire.cela peut etre causé par des droits de sécurité insuffisants; Si ce probleme persiste, contactez votre admisitrateur réseau." 

j'espère que ca t aidera à trouver une piste.
A +

Lyonnais92 · Answer

Bonjour,

ton message ne m'a pas mené à grand chose (hélas). Les rares topics qui en parlent, dont celui de Microsoft font régler le problème en mode sans échec ! Grrr 

Mais il m'a fait relire le topic depuis le début.

Pour être bien sûr :

- ton ordi est tatoué ?

- tu as créé le DVD (ou CD) de restauration avec l'utilitaire de Packard Bell ( Smart restore) ? (si oui, heureusement que tu as fait ça)

- tu as remis le PC à son état départ usine très récemment (après le 15 nov)

- l'accès au mode sans échec a fonctionné 2 j après ça ?

- tu as été réinfecté très rapidement après la remise en état départ usine ?

- tu as une sauvegarde de tes documents personnels sur un autre support ?

===

fais une analyse du DVD avec ton antivirus (avec ta session démarrée, mets le DVD dans le lecteur, bloque si nécessaire toute tentative d'exécution et lance une analyse sur lui)

bylka · Answer

slt lyonnais92  
   
Pour répondre à tes questions:  

J'ai changé de disque dur le 22 novembre car j'avais attrapé des trojans et que le mode sans echec ne fonctionnait plus donc  

- j'ai fait tatouer mon nouveau disque dur avec le disque de restauration packard bell que j'avais fait avec le logiciel dédié smart restore de packard bell 

- j'ai fait l'installation usine   

- mes documents sont sur un disque dur externe que je n'ai toujours pas réinstallé  

- J'ai été réinfecté très rapidement (moins de 36 heures) après la réintallation usine au point de me dire que les anciens trojans s'étaient cachés en dehors du disque dur ( est ce possible ?) ou alors je les ai attrapés en faisant les mises a jours windows qui durent plusieurs heures donc pc non protégé pendant ce temps ?  

-Mon antivirus ne trouve rien de suspect dans le dvd master  
Je ne pense pas que ca vienne du dvd master car j'ai déja fait plusieurs restaurations usine avec ce dvd dans aucun probleme. J'ai aussi changé de disque dur en juin et fait le tatouage pour la 1ere fois de ma vie mais je ne me rappelle plus si le mode sans echec fonctionnait. Le PC n'a en tout cas jamais redémarré tout seul.    

J'attends encore et je pense refaire une restauration usine même si ca n'avait réglé le problème que durant 2 jours la dernière fois. et même en changeant de disque dur, le problème persiste. Je crois qu'il n'y a aucune solution et ca m'énerve.  
Enfin, Le mode sans echec n'est pas indispensable et le mode normal fonctionne . Je me servirais de mon pc pour surfer et je n'acheterais rien au cas ou il y aurait un virus ou troyen caché.  

merci et a +

Lyonnais92 · Answer

Bonsoir,

2 stratégies possibles :

- ne rien faire sinon prendre des précautions dans l'utilisation (et remonter les données persos). Comme tu le dis, l'ordi fonctionne et le MSE n'est pas vital. En cas de malheur, tu devras faire une restauration "départ usine". Si tu choisis ça, on peut passer quelques outils de nettoyage complémentaire "par sécurité" car le rapport ZHPDiag ne montre rien.

- refaire une nouvelle restauration "départ usine". Si tu choisis cette option, je te conseille de "préparer" ton antivirus pour l'installer au plus tôt (en gros dès que Windows acceptera de te rendre la main) en copiant le programme d'installation sur une clé USB pour le recopier et l'exécuter sur ton DD. Ensuite, dès cette sécurisation faite (y compris un scan complet sur une définition des virus mise à jour), tenter le démarrage en mode sans échec puis en mode sans échec avec prise en charge réseau.

A mon avis, les 2 solutions sont très proches en terme de sécurité.

C'est donc un choix qui t'appartient.

bylka · Answer

Je pense que je ferai une reinstallation usine demain.
je suis toujours pointilleux ( installation de l'antivirus dès que possible et windows update) mais je le serai encore plus. Par exemple, j'avais du telecharger la version g data 2011 sur le site de mon antivirus et ben la je la telechargerai d'avance sur une cle usb. Ca m evitera de passer 10 mn sans antivirus. 
Concernant les virus, peuvent ils sortir du disque dur et se mettre quelque part dans un pc ? si la réponse est non, je comprends pas pourquoi mon nouveau disque était contaminé aussi vite et avait les meme soucis que le precedent.
Une fois l'installation faite, je ferai un rapport ZHPDiag.
merci et a +

Lyonnais92 · Answer

Re,

les virus ne naissent pas spontanément. Et il ne me semble pas que tu ais eu un de ceux qui résistent au formatage du DD.

Une recontamination dans la procédure semble plus plausible.

En plus de ton antivirus, prépare MBAM (mais son installation nécessite une connexion, donc tu ne l'installes que lorsque tu as scanné le DD avec ton antivirus.

Prépare aussi ZHPDiag sur un support externe.

Evidemment, scanne avec ton AV le support externe qui contient ces installateurs (G-data, MBAM et ZHPDiag)

A (beaucoup) plus tard.

bylka · Answer

slt lyonnais92 

j'ai fait hier une reinstallation usine avec le dvd master de packard bell.  

J'ai fait des analyses avec le cd boot de mon antivirus à differentes etapes de mises a jour windows. Au début , pas de virus et puis une fois toutes les mises a jour installées, un trojan random a été trouvé et supprimé.  

Ensuite, j'installe Malwarebyte et il me trouve un trojan meredrop et le supprime.  

Je retrouve ainsi les meme trojans qu'avant le restauration ou que sur le disque dur precedent.  

Pour l'instant, le mode sans echec fonctionne et j espere que ca va durer.  
a +

Lyonnais92 · Answer

Bonsoir,

je pourrais avoir le rapport de MBAM (il est encore dans l'application) ?

Pour le rapport de l'antivirus, est ce possible ?

bylka · Answer

slt lyonnais92

voici le rapport de malwarebyte :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijNAZQNMH.txt

Par contre, j'avais pas enregistré le rapport de mon cd bootable g data.

Lyonnais92 · Answer

Bonsoir,

c'est quoi Inventime ?

Ca vient d'où .

bylka · Answer

slt
inventime est un logiciel fourni avec les packard bell et je ne l ai jamai utilisé.

En refaisant une analyse avec mon coof bootable d antivirus, j'ai retrouvé le virus que j avais supprimé il y a 2 jours . Cette fois, j'ai enregistré le rapport: 


Vérification antivirus avec G Data AntiVirus
Version 9.0 (16.02.2009)
Signatures de virus de 05.12.2010
Heure de début : 09.12.2010 19:29
Moteur(s) : EngineA (AVA 21.3545) EngineB (AVB 21.521) 
Heuristique : Oui
Archives : Oui
Zones du système : Oui

Vérification des zones du système...
Vérification des dossiers et fichiers suivants :
	/mnt/

Objet : 614eef4c7563eea4e2097d4270666e5ea58dfeaf
	Chemin : /mnt/C:/WINDOWS/SoftwareDistribution/Download
	État : Virus, fichier supprimé
	Virus : Win32:Ransom-CC [Trj]

Analyse exécutée : 09.12.2010 19:59
65630 fichiers vérifiés
1 fichiers infectés localisés
0 fichiers douteux localisés

J'ai desactivé la restauration systeme pour purger le systeme mais je crains qu'il ne revienne encore.
a+

Lyonnais92 · Answer

Bonsoir,

supprime C:/WINDOWS/SoftwareDistribution/Download/614eef4c7563eea4e2097d4270666e5ea58dfeaf 

Vide ta Corbeille

Redémarre l'ordi

Vérifie qu'il n'est pas revenu.

bylka · Answer

Bonsoir  

Je viens de supprimer le fichier et je ne le retrouve plus.  

Par contre, mon pc se remet a ne plus démarrer en mode sans échec depuis hier et je pense savoir pourquoi: c'est a cause de framework 3.0 et 3.5.  

En effet, J'ai voulu installer canal+ a la demande et le programme d installation m'a fait installé framework 2.0. Après ca , pas de problème.   
Puis juste après avoir installé framework 3.0 et 3.5 par windows update, le pc refusait de démarrer en mode sans échec.  

J'ai désinstaller framework 3.0 et 3.5 mais ca ne règle pas le problème.  

J'ai fait une restauration système et la c'est encore pire car j'ai les effets d'un virus:  
- malwarebyte se lance pas  
-mon bureau a changé et est bleu ciel  
-quand je lance internet explorer, j'ai un message d'alerte qui dit que les paramètres de sécurité ont été modifies.
- - plus de programmes dans la colonne de "lancement rapide" (je sais pas son nom exacte)  

J'ai donc annulé la restauration système et mon pc est redevenu comme avant.  
Le mode sans échec ne fonctionne pas mais je me dit mon pc marche en mode normal donc c'est l essentiel.   

Mais j'aimerais bien savoir si c'est un virus qui cause cela et le virer. 

a +

Lyonnais92 · Answer

Bonsoir,

c'est chelou ton truc.

Ceci dit, on trouve des cas de problèmes divers lors de l'installation de framework (3.0 et 3.5).

Ce que tu décris écarte un problème d'infection. Il semble que quelque chose se passe mal lors des mises à jour de framework.

Une autre hypothèse est que tu n'attendes pas assez longtemps l'ouverture du mode sans échec.

- Est ce que le tiret blanc clignote

- Que se passe-t-il si tu attends au moins 30 mn ?

bylka · Answer

slt

le pc redemarre au bout de 2 secondes et je me retrouve devant l'écran des comptes en mode normal.
Je pense que je ferai une nouvelle restauration et que je n'installerai plus les mises a jour update pour le framework. Est ce que j'aurai des failles de securite en laissant framework 2.0 ?
merci

Lyonnais92 · Answer

Bonjour,

je me renseigne et je te tiens au courant.

Lyonnais92 · Answer

Bonjour,

on m'a fait remarquer que g-data est une protection suffisante et que tu as utilisé Combofix (probablement sans le désinstaller correctement).

Il n'est pas sûr que tu ais fait une "remise en état départ usine" mais plutôt une recopie d'une image système.

Pour voir où on en est, retélécharge ZHPDiag, exécute le et poste le rapport dans un lien Cijoint.

bylka · Answer

Salut lyonnais 

j'ai bien fait une restauration usine avec le dvd master packard bell mais il restait quand meme des fichiers d' anciens comptes utilisateurs et d'anciens programmes alors que normalement, il est dit que cela doit donner un pc à l'état usine.

voici le rapport:  
http://www.cijoint.fr/cjlink.php?file=cj201012/cijwyWtnhR.txt 

Ce soir, mon PC a redémarré plusieurs fois en mode normal et plus de programme dans la liste de lancement rapide. Le bureau s'affiche à peine qu'il y a un message " l'application n'a pu s'initialiser" et ca redemarre . 
Ca a redémarré 4 ou 5 fois et apres c'était ok. Il est bizarre ce virus si il y a virus. 
merci et a +

Lyonnais92 · Answer

Bonsoir,

désinstalle :

- Ad-aware
-  Emsisoft Anti-Malware 5.0 
- Symantec Norton Internet Security
-  ESET Online Scanner


====

Quand c'est fait,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

bylka · Answer

Bonsoir lyonnais92 

j'ai désinstallé ad aware et anti malware . 

Par contre, pour les 2 autres, ils ne sont pas installés sur mon pc normalement.  
J'avais désinstallé norton internet security avec l'outil symantec avant d 'installer mon anti virus.( J'ai quand même réutillisé l'outil symantec au cas où). 
Pour eset , j'ai rien fait car c'est un scan on ligne et que le module téléchargé a été supprimé a la fin  de l'analyse.

je vais faire le combofix et je reviens pour le rapport.

bylka · Answer

voici le rapport de combofix . il a supprimé thumbs du dossier system32, c'est normal ?

https://www.cjoint.com/?1mtuydKkaWq

Lyonnais92 · Answer

Bonsoir,

je n'attendais pas monts et merveilles de Combofix.

Fais ceci :

Démarrer, Exécuter, tape combofix /uninstall dans la zone de saisie puis clique sur OK.

bylka · Answer

Je crois que je vais tout reinstaller et neplus me prendre la tete. 
Je te remercie pour tout et j espere que je t ai pas trop embeter avec mes problemes. 
Par contre, combofix m'a cree une 3eme ligne qui s'ajoute aux lignes windows et consol de récupération au démarrage du pc: " do not select this /debug "
Sais tu comment l'enlever ? 
merci

Lyonnais92 · Answer

Re,

désinstalle d'abord combofix comme indiqué.

Dis moi si la mention figure encore après.

bylka · Answer

bonsoir

la ligne "do not select this /debug" est toujours presente.
conbofix fait ca sur tous les pc ou c'est juste sur le mien ?
a +

Lyonnais92 · Answer

Bonsoir,

oui, Combofix ajoute cette ligne sur tous les pc où il a été installé.

Désinstalle la console si tu tiens à supprimer le message.

Tu as un tutoriel ici pour le faire (bonne traduction d'un texte de Microsoft indigeste en français)

https://www.malekal.com/installer-et-utiliser-la-console-de-recuperation/

(c'est à la fin de la page)

Il faudra que tu supprimes ces deux lignes et pas une seule comme indiqué.


c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug


Comme indiqué, une fausse manip peut avoir des conséquences très gênantes.

Donc :

- tu prends une copie de sauvegarde de boot.ini que tu places sur ton Bureau

- tu vérifies 2 fois après avoir modifié boot.ini et avant de redémarrer

(en cas de malheur, on passera par un live CD pour réparer)

bylka · Answer

salut

merci pour ton aide.

Comme aucun virus ou trojan n'a été décelé par combofix et par les divers outils 

de diagnostic, j'en déduis que mon pc n'en a pas (même si la restauration xp 

provoque des choses bizarres). Pour le mode sans echec, je le remettrai lors 

d'une prochaine réinstallation usine.

Merci pour tout 

a +

Lyonnais92 · Answer

Bonjour,

de rien pour l'aide, d'autant plus que tout ne semble pas nickel (mais, comme tu le dis, aucun outil ne décèle un malware).

Tu réouvres le topic si nécessaire.

Des trojans bloquent le mode sans echec

60 réponses

Discussions similaires

Newsletters