Virus docteur antimalware bloque démarrage pc [Résolu/Fermé]

Signaler
-
 skyly3 -
Bonjour,

J'appelle à l'aide car mon PC portable a été infecté par le Virus docteur antimalware qui empêche le lancement du PC.
Lorsque je démarre mon PC portable j'ai le choix entre
-mode sans échec
-mode sans échec avec réseau
-invite de commande.

Lorsque je choisi le mode sans échec avec réseau, il démarre jusqu'à l'ouverture de session affiche une message sur fond bleu 2 secondes puis redémarre.

Avec le mode sans échec une fois sur 30 tentatives il me permet d'accéder à mon bureau pendant 5 min puis redémarre;

Après avoir parcouru les différents sujets concernant ce virus, je constate que mon cas est bien plus grave que ceux que j'ai pu lire.

Pendant les 5 minutes où j'ai pu accéder au bureau, j'ai installé à l'aide d'une clé USB Malwarebytes - antimalware (sans mise à jour car je ne peux le faire). j'ai fais un examen rapide qui a détecté 11 virus dont le docteur. Je l'ai supprimé, puis redémarrage, et arrivé à l'ouverture de session plantage encore...
Apres encore une trentaine d'essai, j'arrive au bureau où cette fois je lance Rkill.exe (toujours d'aprés une clé USB comme je ne peux strictement rien faire à partir du PC portable) dés que je clique sur EXECUTER en tant qu'administrateur, il plante.

Après une cinquantaine de tentative maintenant, j'opte pour une restauration du système en fonction de la dernière sauvegarde qui date de la veille ( la Chance !!!). Le PC redémarre jusqu'à arriver sur le bureau (mes yeux brillent tellement je suis contente) au bout de 5 secondes sur le bureau.... il plante.... AU SECOURS !!!!
J'ai vraiment utilisé toutes mes cartouches.

Y-a t'il une solution à mon problème, sachant que mon PC n'a que 5 mois ???

Merci de votre aide;





Skyly3

19 réponses

Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
bonjour

a tu un deuxième pc et peut tu graver avec ?

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
oui j'ai un autre ordinateur muni d'un graveur.
Mon système d'exploitation est windows 7 edition familiale premium, c'est une version spéciale pour mon HP je pense car j'ai un programme HP qui se lance avant windows.
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
salut

tu peut deja essayer cette astuce pour soulager le pc

http://www.commentcamarche.net/...
salut,

J'ai une petite question avant de me lancer dans cette opération. Cela n'effacera pas mes fichiers présents sur le disque dur ?

merci
benurrr
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
non sa te supprimera que les fichier infecter
Alors j'ai fais la gravure, puis inséré le cd qui tourne mais le démarrage de Windows s'effectuer normalement et donc plante aprés l'ouverture de session...
benurrr
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
rentre dans le bios pour configurer le boot du cd

içi un tuto

http://ordi-zen.objectis.net/...
bonsoir,

J'ai bien suivi la procédure qui a permis de supprimer 2 fichiers infectés;
Mais malheureusement lors du redémarrage à l'ouverture de la session (j'ai quand même aperçu le bureau et les icônes) il a planté...
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
* Télécharge sur le bureau RogueKiller (par tigzy)

Içi RogueKiller

* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
* NOTE: taper 2 pour mode suppression

et tu rescanne avec malwarbyte l'option complet


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
j'ai lancé l'ordinateur en mode sans echec, puis j'ai décoché "redémarrage automaque" dans le panneau de configuration. J'ai donc pu lire le message sur le fond bleu :
technical information : *** STOP: 0x0000001E (0x0000000000000000,0x0000000000000000,0x0000000000000000,0x0000000000000000)

Collecting data for crash dump...
Initializing disk for crash dump...
Beginning dump of physical memory.
dumping physical memory to disk : 100
physical memory dump complete;
contact your ststem admin or technical support group for further assistance

il me semble qu'il y avait ecrit un moment DRIVER IRL NOT LESS OR EQUAL ( mais vraiment pas sure....)

Je sais pas si ça peut aider...

telegarge kaspersky rescue disk ici http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/ cree un iso redemare l ordi et fait une analise
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
voila se que je trouve sur le net par rapport a ton code d'erreur

- "Stop 0x000000D1 ou Stop 0xD1 ou DRIVER_IRQL_NOT_LESS_OU_EQUAL" :

Cela vient d'un pilote de périphérique, d'un service incompatible. Si ce problème survient au moment de la fermeture de Windows et si vous avez plusieurs périphériques USB branchés, installez le dernier Service Pack. Si l'erreur signale le fichier Kbdclass.sys, cela provient d'un pilote ou d'un programme gestionnaire de clavier non compatible. Un pare-feu de connexion Internet peut provoquer également ce type d'erreur. Vous devez dans ce cas procéder à une mise à jour du programme.
"J'ai une erreur STOP 0X000000D1 incriminant le fichier USBUHCI.SYS et ce uniquement quand je grave un CD-R ou pendant la lecture des DVD-ROM..." Il suffit de faire une mise à jour du BIOS.
"J'ai des erreurs STOP 0X000000D1 incriminant le fichier USBPORT.SYS et ce uniquement quand je grave un CD-R ou pendant la lecture des DVD-ROM..." Cela dénote un conflit avec un pilote de disque USB qu'il vous suffit de désinstaller puis de réinstaller. Au pire, procédez à une mise à jour du pilote incriminé.
"STOP 0x000000D1 ATAPI.SYS : c'est un problème sur le microprocesseur symptomatique d'un mauvais fonctionnement ou d'un overclocking mal maîtrisé. Le temps de l'installation de votre système, revenez aux paramètres par défaut.
- "Erreur STOP Driver irql not less or equal" :
Le fichier incriminé est sptd.sys.
Redémarrez en mode sans échec.
Procédez à la désinstallation de tous les programmes de gravure qui émulent un lecteur virtuel (Alcohol, etc.).
Accédez au Gestionnaire de périphériques puis activez l'affichage des périphériques cachés.
Désinstallez les pilotes virtuels installés par ces programmes.
Redémarrez votre machine.
Problème soumis par P. Peruzzi.
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
Bonjour,

J'ai téléchargé kapersky et fais l'analyse qui a duré au moins 4 heures mais n'a rien détecté.
Je vais tenter roguekiller....
Voici le rapport de roguekiller :



RogueKiller V3.9.0 by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows 7 (6.1.7600 ) 64 bits version
Started in : Safe mode
User: Skyly [Admin rights]
Mode: Scan -- Time : 11/02/2011 13:35:06

Bad processes:

Found:

HOSTS File:


Finished


Je comprend rien...
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Note importante


pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)
lorque je lance combofix mon PC plante.
Du coup j'ai refais malwarebytes, voici le rapport :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

11/02/2011 14:18:51
mbam-log-2011-02-11 (14-18-51).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 335353
Temps écoulé: 26 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\$Recycle.Bin\s-1-5-21-1367297890-1395935590-2314077478-1001\$RLVFVKI.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Skyly\downloads\vlc_setup1.1.5-win32 (1).exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\Skyly\downloads\vlc_setup1.1.5-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
combofix en mode sans echec
quand je le lance il plante
benurrr
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
même en mode sans échec ?
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
Désactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est détecte a tort comme infection)

Télécharge et installe List&Kill'em et enregistre le sur ton bureau

LA List&Kill'em

double clique ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.

? laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
je pense que je vais acheter un disque dur externe et transféré mes fichiers et opter pour une solution plus radicale
benurrr
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
ok par contre scan bien tes fichier avant de les sauvegarder
Merci pour ton aide et ta patience !
J'aurai mon disque dur externe lundi soir.
En attendant je continue a macharner.
J'ai fais list et kill em mais mon ordi s'est figé... J'ai fais des tests dans le bios qui ont tous été bons. Je trouve ce virus vraiment bizarre...
Je pense retester malwarebytes en essayant de mettre la mise a jour sur clé USB. On verra bien... Je te tiens au courant de mon avancement. Merci encore.
Messages postés
9639
Date d'inscription
samedi 24 mai 2008
Statut
Contributeur sécurité
Dernière intervention
11 janvier 2012
89
on va essayer ceci :

> Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;
- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
Bonsoir !

J'ai effectuée l'analyse qui a permis de détecter 3 fichiers infectés qui ont etes mis en quarantaine mais lors du redémarrage, il a encore planté.
Je n'ai pas pu posté le rapport car il était trop lourd vu que lanalyse a durée 9h...

J'ai pu apercevoir sur l'écran bleu le fichier iasor.sys. Je supose que du fait qu'il s'agisse d'un fichier système, cela explique la difficulté de la réparation et indique peut être que la réinstallation était la seule option...

J'ai donc obtenu mon disque dur externe et j'ai donc pu sauvegarder mes photos, vidéos, musiques et autres. Je viens de procéder, via le panneau de configuration, à la réinstallation du système. Je croise les doigts...
Et voilà ça à marché !
J'ai pu sauvegarder mes données, réinstaller windows 7 et il me reste plus qu'à réinstaller divers logiciels et tout sera comme avant.

Merci pour toutes tes recherches !