Ecran blanc, virus SacemRésolu/Fermé

Question

Bonjour,  

J'ai devant moi un pc qui présente un écran blanc "Please wait while the connection is being established". 

Rapport OTLPE: https://pjjoint.malekal.com/files.php?id=20120424_s14z14e8p9d12 

Merci d'avance pour le coup de main.  

Configuration: Antec Three Hundred + 2x Noctua NF-S12B FLX 
Asus P6T-SE  
Intel i7 920 + Noctua NH-U12P SE2 
3x1Go PC3-12800 CAS9 G.Skill NQ series  
Saphire HD4890 1Go Vapor-X  
3x320Go Hitachi Deskstar 7K1000 (raid 0)  
Fortron Green Power 600W 80+ 
Acer X243Hb 24" 1920x1080

Live free, learn free, help free, Happy Hacking! 
Plus que tout en informatique, l'erreur est humaine.

kalimusic · Answer

Bonsoir, 

Commençons par ceci : 

1. Redémarre le système sous l'environnement READTOGO 

2.  Double-clique sur l'icône jaune OTLPE. 
Sous  "Custom Scans/Fixes", copie/colle les instructions suivantes : 

:OTL
O4 - HKU\Joel_ON_C..\Run: [5kS43ADO0bzprWo] C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe () 
O7 - HKU\Joel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\Joel_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc) 
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc) 
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe) - C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe () 
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe) - C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe () 
O20 - HKU\Joel_ON_C Winlogon: Shell - (C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe) - C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe () 
O20 - HKU\Joel_ON_C Winlogon: UserInit - (C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe) - C:\Documents and Settings\Joel\Application Data\soundblaster_fx648.exe ()
&#x25CF; Clique sur le bouton Run Fix, patiente pendant le travail de l'outil.  
&#x25CF; Un rapport va s'ouvrir au format bloc-note. 

3. Héberge le rapport et donne le lien. 

A+ 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

apatik · Answer

Probleme de javascript sous ReadToGo donc je poste en non connecte.

http://pjjoint.malekal.com/files.php?id=20120424_b13s8i7y5r14

kalimusic · Answer

C'est un nouveau scan.

Tu n'as pas exécuté le script indiqué ?

A +

apatik · Answer

http://pjjoint.malekal.com/files.php?id=20120424_r9q10t10o14h14

kalimusic · Answer

Nickel, le pc redémarre en mode normal maintenant ?

A+

kalimusic · Answer

Le système est aussi infecté par pas mal d'adwares, il faudrait les désinstaller et passer un coup de AdwCleaner ;p

A+

Apatik · Answer

Nan, en fait ça boote bien, mais pas d'icones, et pas de clic droit possible sur le bureau.

-explorer.exe a déjà été redémarré
-la barre démarrer fonctionne très bien.
-faire glisser une icone sur le bureau fait apparaître le panneau "défense de stationner" qui empêche le déplacement.

kalimusic · Answer

Apatik, 

Télécharge OTL  (de OldTimer) sur ton Bureau.  

 Ferme toutes tes applications en cours  

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start 
explorer.exe 
winlogon.exe 
userinit.exe 
svchost.exe 
/md5stop 
%temp%\*.exe /s  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%ALLUSERSPROFILE%\Application Data\*. 
%APPDATA%\*.exe /s  
%APPDATA%\*. 
%SYSTEMDRIVE%\*.exe  
%systemroot%\Tasks\*.* /s 
hklm\software\clients\startmenuinternet|command /rs 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

kalimusic · Answer

ok,

1. Désinstalle si possible :

Ask Toolbar (inutile)
Searchqu Toolbar (adware) 
Comment désintaller un programme

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

3. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

4. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression. 

5. Héberge les rapports et donne les liens.

A+

Apatik · Answer

1) Les deux toolbars => fait

2) Rapport ADW Cleaner => ici.

3) Rapport OTL => ici.

4) Rapport MBAM => ici.

5) C'est au dessus :D

J'ai récupéré le bureau après le passage d'OTL. A première vue, pour moi c'est ok. Y'a plus qu'à purger les programmes qui se lancent au démarrage.

Si tu vois autre chose...

kalimusic · Answer

Bonjour,

C'est agréable de désinfecter une personne comme toi ;)
Ok pour le bureau, j'avais scripté la ligne du registre qui bloquée.

On se refait un petit diagnostic pour être sûr.

Relance OTL 
&#x25CF;  Coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

A +

Apatik · Answer

Et v'la!

kalimusic · Answer

On termine,

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

== == == == == == == == MISES A JOUR == == == == == == == ==

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Apatik · Answer

Merci bien! 

A bientôt.

Ecran blanc, virus Sacem

14 réponses

Discussions similaires

Newsletters