virus bloquant les exe. et gadgets du bureauRésolu/Fermé

Question

Bonjour, A la suite de l'installation d'un crack d'antivirus, à l'ouverture de plusieurs de mes exe. tels que Ccleaner,SpyBoat ou mon antivirus (seulement les logiciels de nettoyage en fait), -j'ai une fenêtre de sécurité windows qui s'ouvre : http://cjoint.com/?2lerA8NAdpb -j'ai aussi un problème avec mes gadgets qui ne se lancent plus au démarage de windows et qui, quand je les lance, me tapent des bugs plutot sympa : http://cjoint.com/?2lerAafRAvz J'ai vu sur gogole que pas mal de personnes ont le même problème que moi et après pas mal de bidouillage je cherche une âme qui aurait une solution à mon problème :/ merci aux intéréssés Configuration: Pc portable ACER extensa 5235: Windows 7 intégrale Intel(1) Celeron 2.2Ghz RAM: 2,00Go 32 bits Missile nucléaire prêt, à vous de jouer ;) COD 6

moment de grace · Answer

bonjour

* Téléchargez FindyKill sur le Bureau. 

http://www.teamxscript.org/findykillTelechargement.html

ou

http://teamxscript.changelog.fr/FindyKill.html

* Double-cliquez sur FindyKill présent sur le Bureau. 

* Choisissez l'option 1 (Recherche). 

* Laissez travailler l'outil. 

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

moment de grace · Answer

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

caps01 · Answer

Merci , voilà le rapport : 

https://www.cjoint.com/?0lfjlDPSeWl

moment de grace · Answer

ok

1)

poste moi ton dernier rapport MalwareByte's Anti-Malware sans refaire d'examen

............

2)
! Déconnecte toi et ferme toutes application en cours (navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc... 

* Double clique sur setup.exe présent sur ton bureau pour lancer l'outil. 

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ... 

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal ! 

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt) 

 Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

....................

3)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

M2 - MFEP: prefs.js [Romain - d1pfs31m.default\cacaoweb@cacaoweb.org] [] cacaoweb 1.0.9 (.http://www.cacaoweb.org/    
[HKCU\Software\X3EKEPXJP2]    
[HKCU\Software\cacaoweb]  
O44 - LFC:[MD5.5662191B61C165D9BCA2D118FAC60172] - 19/10/2010 - 13:30:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Uninstal.exe   [95110]


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

...................

4)


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

caps01 · Answer

J'imprime tout ça et je te tiens au courant après la manip 

merci bien (mlw.b m'a rien trouvé lors de la dernière analyse)

Missile nucléaire prêt, à vous de jouer

moment de grace · Answer

ok

poste quand même MBAM même s'il est vierge

et passe l'étape findykill

=> le 3) et 4)

caps01 · Answer

MBAM : 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4871

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

05/11/2010 09:09:35
mbam-log-2010-11-05 (09-09-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 146641
Temps écoulé: 8 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'me lance pour les deux autres étapes

caps01 · Answer

le rapport de ZHP fix :  

Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010 
Fichier d'export Registre :  
Run by Romain at 05/11/2010 10:48:21 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
HKCU\Software\X3EKEPXJP2  => Clé supprimée avec succès 
HKCU\Software\cacaoweb  => Clé supprimée avec succès 

========== Dossier(s) ========== 
C:\Documents and Settings\Romain\Application Data\Mozilla\Firefox\Profiles\d1pfs31m.default\extensions\cacaoweb@cacaoweb.org  => Supprimé et mis en quarantaine 

========== Fichier(s) ========== 
c:\windows\uninstal.exe  => Supprimé et mis en quarantaine 


========== Récapitulatif ========== 
2 : Clé(s) du Registre 
1 : Dossier(s) 
1 : Fichier(s) 


End of the scan 


Je sais pas si c'est important, mais après la fin du scan mon ordi a fait un écran bleu chiffré et a re-démaré

Je fais direct l'étape 4 ?  

Missile nucléaire prêt, à vous de jouer

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

caps01 · Answer

Bon ba y'a plus qu'à 

merci
Je te tiens au courant quand c'est fini

caps01 · Answer

après téléchargement de combofix sur le bureau, je lance l'instal', a la fin du chargement de la barre de progression : mon fameux message d'erreur qui revient : https://www.cjoint.com/?0lfpkdTlFgi

moment de grace · Answer

vois si tu peux désactiver la protections contre les programmes malveillants
http://forum-windows.com/vista/tutoriels/desactiver-centre-securite/

https://docs.microsoft.com/en-us/previous-versions/tn-archive/bb432648(v=technet.10)?redirectedfrom=MSDN

caps01 · Answer

Je ne peux pas avoir accès aux paramètres avancés du pare feu à cause de mon virus

moment de grace · Answer

Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
De retour à la fenêtre principale : choisissez Analyse complète. 
 Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
Cliquez Oui pour Tout si un fichier est détecté. 
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
Fermez Dr.Web CureIt! 
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

caps01 · Answer

J'ai lancé le scan sur MON pc, en mode protection renforcée.
Je vous tiens au courant mais c'est partie pour la soirée à mon avis

merci

moment de grace · Answer

je suppose que tu n'as pas d'amélioration...

............

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé



/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

caps01 · Answer

Nada :/ 

https://www.cjoint.com/?0lhlxCVCEz7

moment de grace · Answer

(soupir)

supprime combofix que tu possèdes

et refais en nouveau en mode sans echec

https://forums.commentcamarche.net/forum/affich-19722486-virus-bloquant-les-exe-et-gadgets-du-bureau#20

caps01 · Answer

^^ Je te laisse un peu de répis 
Je bosse cette aprem, j'suis de retour vers 19h, bonne apres-midi

caps01 · Answer

re, en mode sans échec ou non, le virus m'affiche le message d'erreur qui dit que mes paramètres de sécurité ne me permettent pas d'ouvrir ces fichiers lorsque j'ouvre l'exe combifix sur mon bureau, dès que je ferme la fenetre d'erreur, une autre apparait et ainsi de suite pour tous les fichiers d'installation de combofix...

HELP
Missile nucléaire prêt, à vous de jouer

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur pour vista ou seven
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 

*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),



* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

caps01 · Answer

Toujours ma fenêtre d'erreur qui apparaît ! 
est ce qu il serait pas possible d'installer le logiciel directement sur une clef usb via un autre ordinateur et le lancer depuis la clef ?

moment de grace · Answer

essaie mais j'y crois pas

sinon

Procédure a effectuer sur un PC fonctionnel : 

Télécharge OTLPE.iso sur ton bureau. 
http://oldtimer.geekstogo.com/OTLPE.iso 


- Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre. 
- Fais un double-clic sur l'icône d'OTLPE.iso et si tu as un logiciel de gravure ISO sur ton pc, celui ci s'ouvrira automatiquement, il ne te reste qu'a suivre les instructions indiquées par celui ci. 


Par contre si aucun logiciel de gravure ne se lance, fais cela... 

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau. 
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe 

- Installe le sans modifier les paramètres proposés lors du processus d'installation. 
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next". 
- BurnAtOnce est maintenant en fonctionnement. 

Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture : 
https://www.sfr.fr/fermeture-des-pages-perso.html 

- Clique sur Simulation 
- La gravure du CD va alors démarrer 
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème : 
https://www.youtube.com/watch?v=EG3lOgt3ugE 


Faut maintenant insérer le CD créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD : 
https://forum.malekal.com/viewtopic.php?t=9447&start= 

* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune 

* Double-click sur l'icone OTLPE 
* Quand demandé "Do you wish to load the remote registry", select Yes 
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes 
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK 

* Sous Custom Scan box copie_colle le contenu en gras ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*. 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
explorer.exe 
svchost.exe 
userinit.exe 
qmgr.dll 
ws2_32.dll 
proquota.exe 
imm32.dll 
kernel32.dll 
ndis.sys 
autochk.exe 
spoolsv.exe 
xmlprov.dll 
ntmssvc.dll 
mswsock.dll 
Beep.SYS 
ntfs.sys 
termsrv.dll 
sfcfiles.dll 
st3shark.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
c:\$recycle.bin\*.* /s 

* clic Run Scan pour démarrer le scan. 
* une fois terminé , le fichier se trouve là C:\OTL.txt 
* copie_colle le contenu dans ta prochaine réponse

caps01 · Answer

Je n'ai pas de CD a porté de main, j'en aurai ce soir. En attendant est ce que je peux crééer un lecteur virtuel et coper l'image iso dessus ?

caps01 · Answer

obligé de créer une nouvelle session windows au final.. puis reinstallation de wds pour repartir clean

Virus bloquant les exe. et gadgets du bureau

25 réponses

Discussions similaires

Newsletters